Gestión de fraude y delitos cibernéticos, atención médica e industrias específicas luchan contra el modelo de negocio con planificación de resiliencia empresarial y capacidades de conmutación por error Mathew J. Schwartz (euroinfosec) • 21 de junio de 2024 No deberíamos volvernos insensibles al costo humano del ransomware. (Imagen: Shutterstock) Nunca permita que el ransomware se normalice. Mientras el Servicio Nacional de Salud de Gran Bretaña se enfrenta a una supuesta filtración de datos robados tras otro ataque de ransomware, este imperativo nunca ha sido más importante. Ver también: Estrategias impulsadas por IA para una recuperación eficaz de incidentes cibernéticos El último ataque al NHS es un recordatorio de que hoy en día las empresas tienen más probabilidades de verse afectadas por ransomware. Pero esto no significa que debamos dejar que el ransomware parezca una nueva normalidad, similar a la muerte o los impuestos (ver: Qilin Ransomware Group filtra datos del NHS). Los incesantes ataques lanzados por grupos de ransomware pueden hacer que sea difícil no volverse insensible. Los grupos de extorsión, principalmente de habla rusa, ganan colectivamente salarios anuales superiores a los mil millones de dólares a expensas de la sociedad. Han extorsionado a hospitales, sistemas nacionales de salud y otras instituciones que ofrecen servicios críticos, todo ello además de causar interrupciones masivas con consecuencias reales para el bienestar humano (ver: NHS Ransomware Hack: 1,500 citas médicas reprogramadas). «El tipo de personas que hacen esto son delincuentes, por lo que realmente no les importa», dijo Alan Woodward, profesor de informática en la Universidad de Surrey, Inglaterra. «Eran el tipo de personas que consumían drogas, prostitución, trata de personas, etc., por lo que la miseria humana no significa nada para ellos». Una de las razones por las que han migrado al ransomware es porque «pueden ganar mucho más dinero con él y el riesgo de ser descubiertos es menor», me dijo Woodward. «Son inmorales, pero son empresarios inmorales». Esto ayuda a explicar la cuestión de cómo viven consigo mismos los atacantes cuando lastiman a personas inocentes. La BBC recientemente planteó esa pregunta a un miembro del grupo de ransomware Qilin, que ha acumulado numerosas víctimas este año, incluido el proveedor de servicios de patología Synnovis en Londres. “Esta entrevista ha terminado”, respondió el representante del grupo, cesando toda comunicación posterior. Qilin ha seguido el manual típico de un atacante de ransomware, primero intentando “nombrar y avergonzar” a una víctima que no paga para que pague y luego afirmar que filtra datos robados cuando no lo hace. Como resultado del ataque, el NHS ha emitido un llamamiento urgente para donaciones de sangre tipo O, incluso a través de cartas enviadas a hogares de toda Inglaterra. Esto se debe a que los sistemas necesarios para comparar tipos de sangre siguen sin estar disponibles mientras continúa la interrupción de Synnovis (ver: Hospitales de Londres buscan respaldo de productos biológicos después del ataque de ransomware). Hasta ahora, el ataque de Synnovis ha provocado la cancelación de más de 1.000 cirugías y citas, incluida la necesidad de reprogramar cesáreas y trasplantes de órganos planificados. Se ha pedido a los médicos y hospitales que envíen los análisis de sangre no críticos, incluidos los de salud sexual, a proveedores alternativos. Un médico le dijo a la BBC que los resultados críticos de los análisis de sangre que antes se obtenían en una hora ahora tardan seis horas. Preocupaciones por la recuperación Los expertos dicen que Synnovis puede tardar meses en recuperarse completamente del ataque. La empresa, que se describe a sí misma como una “asociación de patología” entre Guy’s and St Thomas’ NHS Foundation Trust, financiada por el gobierno, y King’s College Hospitals NHS Trust, y el gigante privado de diagnóstico con sede en Munich Synlab, pareció desconectar sus sistemas tan pronto como tan pronto como detectó ransomware. Esta rapidez de pensamiento puede haber impedido que los atacantes pudieran violar los sistemas de los hospitales que dependen de Synnovis. Aun así, las continuas interrupciones y el largo plazo para la restauración plantean dudas sobre la conveniencia de centralizar los servicios de patología, lo que probablemente se hizo con fines de ahorro de costos. The Guardian informó que el contrato de los fideicomisos con Synnovis “para servicios que son vitales para el buen funcionamiento del NHS” tiene un valor de 1.400 millones de dólares. A esos precios, ¿por qué Synnovis no tenía capacidades de conmutación por error ubicadas fuera del sitio, en asociación con Synlab, para poder continuar brindando sus servicios de patología esenciales, sobre todo en caso de un desastre natural u otra interrupción? Synnovis no respondió a mi solicitud de comentarios. La compañía es la última de una larga lista de víctimas afectadas por un conjunto ahora predecible de movimientos de atacantes que implementan con éxito ransomware o roban datos del entorno de una víctima. Los expertos dicen que alrededor del 25% de estas víctimas suelen pagar un rescate, que es el resultado que más desean los atacantes, sobre todo porque esos ataques a menudo nunca salen a la luz, lo que hace que sus tácticas sean más difíciles de rastrear para los defensores de la seguridad y para las fuerzas del orden. Cuando los ataques salen a la luz, normalmente es porque la víctima no ha pagado el rescate. En ese momento, los atacantes a menudo intentan aprovechar el incidente con fines publicitarios, especialmente para presionar a futuras víctimas para que paguen. Los grupos de ransomware siguen siendo expertos en manipulación psicológica y marcas. Qilin afirmó que exigió un rescate de 50 millones de dólares a Synnovis después de que un afiliado pirateara con éxito la empresa. Quizás los atacantes vieron un objetivo jugoso, dada la cantidad de empresas privadas de atención médica en los EE. UU. que, según se informa, pagan un rescate. Cualquiera que esté familiarizado con el Servicio Nacional de Salud de Gran Bretaña, financiado por el gobierno y siempre carente de recursos, del que forma parte Synnovis, probablemente piense que la demanda de rescate es ridícula. «Los delincuentes pueden creer que Synnovis no pagará ninguna demanda de extorsión, y esta demanda de 50 millones de dólares podría ser simplemente un truco publicitario de los delincuentes para aumentar su notoriedad entre futuras víctimas», dijo Brian Honan, director de la empresa con sede en Dublín. Consultoría en ciberseguridad BH Consulting. La preparación vale la pena Parte de no permitir que el ransomware se normalice nunca requiere que los CISO (y sus altos ejecutivos y juntas directivas) se aseguren de que sus organizaciones no sólo estén preparadas para los ataques, sino también para bombardear su entorno de TI empresarial desde la órbita y comenzar de nuevo, si es necesario. . En el caso de Synnovis, eso podría haber significado estar preparado para perder datos de muestras de prueba ya procesadas, algo que ahora puede haber ocurrido de todos modos. La evaluación de un evento de esta magnitud y la rápida restauración de los servicios podrían requerir concesiones. «Hay que estar preparado para ello y resistirlo, y eso no significa simplemente repelerlo, porque lo van a hacer más de una vez», dijo Woodward. «Hay que estar preparado para operar sin TI y saber qué hacer si lo arrasamos todo y empezamos de nuevo». URL de la publicación original: https://www.databreachtoday.com/blogs/as-britains-nhs-faces-data-leak-never-normalize-ransomware-p-3649