Expertos en gestión de fraudes y delitos cibernéticos, atención médica, HIPAA/HITECH dicen que las organizaciones que manejan información de salud altamente confidencial son blanco de ataques Marianne Kolbasuk McGee (HealthInfoSec) • 5 de septiembre de 2024 Imagen: Planned Parenthood of Montana Planned Parenthood of Montana, que brinda a los pacientes servicios de atención médica reproductiva que incluyen control de la natalidad y aborto, está respondiendo a un ataque y una amenaza del grupo cibercriminal RansomHub de filtrar 93 gigabytes de datos supuestamente robados de la organización. Ver también: Seminario web en vivo | Construyendo una empresa y un ecosistema de atención médica más resilientes El hackeo es uno de los últimos incidentes que ponen de relieve las amenazas que se plantean a las organizaciones que manejan información altamente sensible como la salud reproductiva, a la luz de las prohibiciones estatales y las nuevas restricciones a los abortos desde que la Corte Suprema revocó Roe v. Wade en 2022. Planned Parenthood of Montana en una declaración a Information Security Media Group el jueves confirmó que identificó un incidente de ciberseguridad en sus sistemas de TI el 28 de agosto. La organización nacional Planned Parenthood opera 600 centros en todo Estados Unidos «Inmediatamente implementamos nuestros protocolos de respuesta a incidentes, incluyendo desconectar partes de nuestra red como medida de seguridad proactiva», dijo Martha Fuller, presidenta y CEO de Planned Parenthood of Montana. «Estamos agradecidos con nuestro personal de TI y socios de ciberseguridad, que están trabajando las 24 horas del día para restaurar de forma segura los sistemas afectados lo más rápido posible, y que están investigando incansablemente la causa y el alcance del incidente». Fuller también dijo que la organización está al tanto de la publicación de RansomHub en el sitio web oscuro del grupo y ha informado del incidente a las fuerzas del orden federales. La investigación del incidente está en curso, dijo. Montana no es el primer centro de Planned Parenthood afectado por un ciberataque. Planned Parenthood de Los Ángeles en 2021 también sufrió un ataque de ransomware y exfiltración de datos que afectó a información sanitaria confidencial, incluidos diagnósticos y procedimientos médicos de unas 400.000 personas (véase: Datos exfiltrados de Planned Parenthood, 400.000 notificados). Algunos expertos dijeron que lo más probable es que los ciberdelincuentes estén eligiendo objetivos potenciales en el ámbito de la atención sanitaria de forma más selectiva debido a los niveles de sensibilidad de la información que manejan. “La atención sanitaria reproductiva es un área importante de preocupación por diversas razones, incluidas las variaciones extremas entre las leyes estatales y ciertos tipos de procedimientos y atención sanitaria reproductiva”, dijo la abogada regulatoria Rachel Rose. “Los ciberdelincuentes se han centrado en esta área, al igual que lo hicieron con los hospitales infantiles, porque llama la atención y el objetivo es que la gente pague un rescate y/o paralice un sector de infraestructura crítica, que es lo que ocurrió en Change Healthcare”, dijo. UnitedHealth Group –la empresa matriz de Change Healthcare– admite haber pagado un rescate de 22 millones de dólares a los atacantes en su incidente. La abogada de privacidad Iliana Peters, del bufete Polsinelli, dijo que, según lo que ve, los cibercriminales tienen la intención de intentar conseguir recompensas por extorsión de cualquier organización que crean que podría pagar, pero no parecen estar apuntando a entidades de ningún segmento específico de ningún sector, incluida la atención médica. “En mi experiencia, los actores de amenazas no están particularmente interesados ​​en ningún tipo de información de identificación personal o información de salud protegida, excepto en la medida en que la información les permita cometer fraude de pago o robo de identidad, o les permita obtener un pago de rescate de la propia entidad”, dijo. La información de los niños también parece ser un objetivo. En enero, el grupo de ransomware como servicio Rhysida se atribuyó el mérito de un ataque al Hospital Infantil Ann & Robert H. Lurie de Chicago, que dejó fuera de línea los sistemas de TI del centro médico pediátrico durante varias semanas y comprometió los datos de 800.000 personas. Rhysida había exigido un rescate de 3,4 millones de dólares por los datos robados en ese ataque, pero el hospital dijo que no pagó (ver: Hospital Infantil notifica a 800.000 personas el robo de datos en un ataque). “Si bien es difícil saber exactamente qué hace que un actor de amenazas ataque a una organización, creo que es razonable esperar que factores como el impacto o temas polémicos que pueden generar controversia puedan influir en el comportamiento de respuesta”, dijo Rick Vanover, vicepresidente de estrategia de productos de la empresa de seguridad Veeam Software. “Cuanto más privados o sensibles sean los datos, más atractivos pueden ser para el actor de amenazas y la red oscura. Sin embargo, las ciberamenazas no discriminan”, dijo. “No es necesariamente la industria la que está en la mira; son aquellas organizaciones que no están preparadas o no son resilientes a los datos las que sufren el peor daño de un ciberataque o incidente de ransomware”. RansomHub fue objeto de una alerta conjunta emitida la semana pasada por el FBI, CISA, el Departamento de Salud y Servicios Humanos y el Centro de Análisis e Intercambio de Información Multiestatal. Las autoridades afirman que, desde su creación en febrero, RansomHub ha cifrado y exfiltrado datos de al menos 210 víctimas de varios sectores, incluidos la atención sanitaria y la salud pública, los servicios financieros y el gobierno. RansomHub ha afirmado estar en el centro de varios ataques recientes de alto perfil al sector de la salud. Dijo que tenía la custodia de 4 terabytes de datos robados por un afiliado de otra banda, BlackCat, en el ataque de febrero a Change Healthcare. El grupo también se ha atribuido el mérito de los recientes ataques de robo de datos a la cadena de farmacias Rite Aid y al Departamento de Salud de Florida. En su alerta conjunta de la semana pasada, las autoridades del gobierno estadounidense dijeron que los afiliados de RansomHub aprovechan la doble extorsión, incluido el cifrado de sistemas de TI y la exfiltración de datos para extorsionar a las víctimas. «Cabe señalar que los métodos de exfiltración de datos dependen del afiliado que lleva a cabo el compromiso de la red. La nota de rescate que se deja caer durante el cifrado generalmente no incluye una demanda de rescate inicial o instrucciones de pago», dice la alerta. “En su lugar, la nota proporciona a las víctimas una identificación de cliente y les indica que se pongan en contacto con el grupo de ransomware a través de una URL única .onion, accesible a través del navegador Tor. La nota de rescate suele dar a las víctimas entre tres y 90 días para pagar el rescate, según el afiliado, antes de que el grupo de ransomware publique sus datos en el sitio de fugas de datos de Tor RansomHub”. El sitio web de la banda dice: “No permitimos que los hospitales sin fines de lucro y algunas organizaciones sin fines de lucro sean el objetivo”. Vanover dijo que sus principales recomendaciones para mantener los datos resistentes en caso de posibles ataques no son diferentes para la atención médica u otra información confidencial, pero funcionan bien en todos los ámbitos. “He estado recomendando la regla 3-2-1 durante varios años con un giro moderno y un paso opcional más allá: tres copias de datos, dos medios diferentes y una de ellas fuera del sitio es un gran comienzo”, dijo. “Pero 3-2-1-1-0 va un paso más allá y tiene al menos una copia que es inmutable, por lo que no hay sorpresas con la detección de malware y la verificación de recuperación”, dijo. “También recomiendo a las organizaciones que consideren tener dos copias inmutables diferentes; esto proporcionará los niveles más altos de resiliencia hoy para proteger estos datos críticos”. URL de la publicación original: https://www.databreachtoday.com/ransomhub-claims-theft-montana-planned-parenthood-data-a-26216