Las fuerzas del orden de Las Vegas, el FBI y Semperis llevaron a cabo un simulacro de ransomware dirigido al sector sanitario en Black Hat USA 2024 para abordar la creciente amenaza de ataques como el sufrido por Change Healthcare. El ejercicio se centró en el sector sanitario, que ha sido objeto de una serie de ataques de ransomware en los últimos meses y en el que participaron algunos de los clientes de Semperis en el sector. En particular, el ciberataque contra Change Healthcare provocó retrasos en los servicios de prescripción en todo Estados Unidos y vio vulnerados los datos personales de millones de personas. Durante el simulacro, un equipo rojo lanzó un ataque de ransomware de alto riesgo contra un hospital ficticio, denominado Sunshine Healthcare. El objetivo del ataque simulado era interrumpir los servicios a los pacientes hasta el punto de que el hospital no tuviera otra opción que pagar el rescate. En el escenario llevado a cabo, las redes sociales comprometieron las credenciales privilegiadas de un ejecutivo junto con las vulnerabilidades internas que existían en la red para permitir que el malhechor obtuviera acceso, viviera de la tierra y luego explotara las vulnerabilidades. En los equipos se incluyeron representantes de la atención médica que previamente habían sufrido incidentes de la vida real. Marty Momdjian, vicepresidente ejecutivo de servicios en Semperis, le contó a Infosecurity sobre el escenario llevado a cabo durante la Operación 911. «Para la atención médica, cuando hay un adversario en la red, las decisiones deben tomarse instantáneamente, pero no pueden ejecutarse instantáneamente debido al nivel de aprobación necesario de los médicos», explicó Momdjian. «No se puede detener la atención clínica de los pacientes, por lo que las cosas llevan tiempo. La mayor conclusión del equipo rojo fue que el equipo azul puede gastar todo el tiempo, la energía y el dinero tratando de proteger cada pequeña cosa, pero todo lo que el equipo rojo tiene que hacer es encontrar un pequeño agujero», dijo. Si bien esto fue una simulación, sabemos que, a menudo, los servicios de atención médica no tienen otra opción que pagar cuando los incidentes amenazan las vidas de los pacientes. Negociaciones con bandas de ransomware Después del incidente de Change Healthcare, se confirmó que la empresa matriz, United Healthcare, pagó un rescate de $ 22 millones a los cibercriminales de la banda BlackCat / APLPHV. En declaraciones a Infosecurity, Jeff Wichman, director de respuesta a incidentes en Semperis y ex negociador de ransomware, dijo: “Cada organización tiene su propia tolerancia al riesgo en cuanto a si está dispuesta o no a pagar. En realidad, todo se reduce a un par de factores, como los datos que tienen los atacantes; en una situación de atención médica, está en juego la vida de alguien. Creo que los atacantes lo saben y lo usarán en su beneficio”. Wichman, ex negociador de ransomware en Palo Alto, dijo que el objetivo de las negociaciones es retrasar, sin embargo, una organización de atención médica puede querer resolver el problema rápidamente. “Esto puede ser perjudicial porque si no investigan cómo entró el atacante, podrían volver”, señaló. Señaló que hay servicios de terceros que se deben implementar al iniciar negociaciones con un atacante. “No recomiendo que ninguna organización se comunique directamente con un atacante. Punto”, dijo Wichman. Escuche: Cambio en el ciberataque de atención médica: dentro de la disrupción y las lecciones