Esta semana quedó claro en todo el panorama de la ciberseguridad de la atención médica que el espectro de un posible ataque de doble extorsión por parte de RansomHub se cierne sobre Change Healthcare, luego del ciberataque de febrero por parte de ALPHV.
Además, un torbellino de noticias sobre LockBit inicia una complicada historia de espionaje internacional y posibles nuevas amenazas de este grupo a las organizaciones de atención médica. Esta semana hablamos con varios líderes de ciberseguridad para conocer las conclusiones de la atención médica.
Doble extorsión para Change Healthcare
Múltiples fuentes informaron que el grupo de ransomware como servicio RansomHub reclamó posesión de 4 TB de datos robados de Change Healthcare y amenazaba con hacerlos públicos a menos que se pagara un rescate.
«La doble extorsión en realidad parece completamente en línea con lo que podrían hacer», dijo el viernes por correo electrónico Joel Burleson-Davis, vicepresidente senior de ingeniería cibernética mundial de Imprivata.
«La otra dinámica es que estos son modelos de negocios, por lo que si quieren un pago, deben cumplir su parte del trato, algo así como una situación contractual. La doble extorsión es como un escenario de riesgo/recompensa para su futuro modelo de negocios. » él explicó.
El mes pasado,SOCRadarpublicado unPerfil de RansomHube informó que, a diferencia de otros grupos de ransomware, los pagos de rescate del grupo se envían inicialmente a los afiliados por una ganancia del 90%.
Mientras tanto, vx-underground, un tesoro de información y muestras de código fuente de malware, según su perfil X, dijo el lunes queLos afiliados de ALPHV se trasladaron a RansomHub.
«Cambie Healthcare y UnitedHealth, tiene una oportunidad de proteger los datos de sus clientes. Los datos no se han filtrado a ninguna parte y cualquier inteligencia de amenazas decente confirmaría que los datos no se han compartido ni publicado», supuestamente publicó el grupo el lunes, según uncaptura de pantallaun grupo llamado Dark Web Informer compartió en X.
También en la supuesta página del sitio web oscuro RansomHub, el grupo agregó: «Tenemos los datos y no ALPHV».
El Departamento de Justicia lo anuncióincautado ALPHV Blackcaten diciembre, pero luego el grupo Blackcat afirmóresponsabilidad por el ataque a Change Healthcareen febrero e informó tener registros médicos, de seguros y dentales, junto con datos de pagos y reclamos e información de identificación personal de los pacientes, junto con datos del personal militar/marino de EE. UU.
En marzo, ALPHV enumeró el pago del rescate y el sitio cerró con una segunda incautación policial, avisos que las agencias de investigación negaron haber publicado.
Si el grupo es un conjunto de actores de amenazas relacionados o no relacionados que intentan lograr que UnitedHealth Group pague más de los 22 millones de dólares en Bitcoin que quizás ya haya pagado para ayudar a restaurar los sistemas de Change Healthcare yliberar presión sobre los proveedores después de la interrupción del ransomwarela posibilidad de filtrar el enorme tesoro de datos sanitarios protegidos es alarmante para todo el ecosistema sanitario.
Greg Surla dijoNoticias de TI para el cuidado de la saludEl jueves, el riesgo de una violación de datos a tan gran escala en las organizaciones de atención médica es «complejo e inquietante».
«Esta nueva amenaza de exposición de datos por parte de una segunda parte refuerza la importancia de la planificación de la continuidad del negocio, ya que puede ser difícil predecir cuándo un ataque realmente terminará», enfatizó por correo electrónico.
«Además, los últimos desarrollos intensifican la necesidad de garantizar que la PHI esté protegida mediante fuertes controles de seguridad, alineados con la industria.mejores prácticasy cualquier incumplimiento esreportadoa [U.S. Health and Human Services] y las personas afectadas sin demora significativa después de una infracción».
Burleson-Davis añadió que un posible escenario de doble extorsión es «la razón por la que necesitamos más regulaciones sobre el acceso de terceros» y programas de seguridad sólidos, como herramientas de gestión de acceso privilegiado, que «puedan evitar algunas de estas cosas».
«[UHG] Probablemente haya hecho tantos análisis forenses como sea posible y si tuvieran una segunda infracción no detectada, realmente podría ser un segundo actor actuando. ¿Pero qué quiere decir que no haya un tercero o un cuarto? le explicó aNoticias de TI para el cuidado de la salud.
«El hecho de que haya actividad adicional que parezca una segunda infracción o una doble extorsión significa que todavía están en el meollo de esto y aún no están fuera de peligro», añadió. «Si hay muchos actores diferentes presentes en su sistema ahora , el camino hacia la recuperación será mucho más largo, mucho más costoso y mucho más impactante.
«¿Cómo saben que están limpios? Esto crea un perfil de riesgo gigante».
Medios SCanotado en suinformeEl lunes, RansomHub les dará a UHG y Optum 12 días para pagar, o filtrará los datos de Change Healthcare.
Los investigadores desentrañan LockBit
En febrero, el Departamento de Justicia y la Oficina Federal de Investigaciones de EE. UU. anunciaron que un equipo internacional de funcionarios encargados de hacer cumplir la ley colaboraron a través de una campaña coordinada de defensa contra ransomware dirigida por el gobierno llamada Operación Cronos ySe apoderó de los servidores de la pandilla Lockbit ransomwareproporcionando descifradores a numerosas organizaciones de todos los sectores.
Lockbit, un grupo de ransomware conocido por atacar a organizaciones de atención médica, aunquese disculpó con SickKids, con sede en Torontoy ofreció un descifrador en 2023; parece que no caerá sin luchar.
La semana pasada, Trend Micro publicó detalles sobre cómo funcionó LockBit después de la interrupción de la Operación Cronos. La empresa dijo, mientras intenta mantenerse a flote con una nueva versióncomo lo más probable es que el grupo esté trabajando en LockBit 4.0, es posible que haya lanzado recientemente la variante LockBit-NG-Dev.
Después de investigar los actores de amenazas asociados con el grupo, los investigadores de Trend Micro dijeron que cuestionan la capacidad de LockBit para atraer a los principales afiliados, basándose en las fallas «logísticas, técnicas y de reputación» del grupo en 2023.
También se especuló el jueves que LockBit cambiará su nombre a DarkVault, según uncibernoticiasinforme.
Mientras tanto, una fuente anónima dijo a Bloomberg el miércoles que los investigadores encargados de hacer cumplir la ley han vinculado los seudónimos utilizados por la banda de hackers LockBit con individuos específicos, y estánrastreando una lista de 200 clientes potencialesa los asociados de LockBit.
El Departamento de Justicia también dijo, cuando anunció la incautación de los activos de LockBit, que abrió acusaciones en Nueva Jersey y California contra los ciudadanos rusos Artur Sungatov e Ivan Kondratyev, también conocido como el cibercriminal Bassterlord, por implementar LockBit contra numerosas víctimas en todo Estados Unidos. .
Sungatov y Kondratyev no están detenidos pero han sido sancionados por el Tesoro de Estados Unidos, según un informe de febrero.historiaen TechCrunch, lo que significa que cualquier conexión de cualquier empresa o individuo estadounidense para pagarles corre el riesgo de multas y/o proceso penal.
Los CVE de Microsoft se duplican en abril
La Agencia de Seguridad de Infraestructura y Ciberseguridad emitió undirectiva de emergenciala semana pasada para abordar el impacto en las agencias federales por una violación de Microsoft.
«El actor cibernético patrocinado por el estado ruso conocido como Midnight Blizzard ha filtrado correspondencia por correo electrónico entre agencias del Poder Ejecutivo Civil Federal y Microsoft a través de un compromiso exitoso de cuentas de correo electrónico corporativas de Microsoft», dijo CISA en el anuncio del 2 de abril.
Las agencias FCEB deben «analizar el contenido de los correos electrónicos filtrados, restablecer las credenciales comprometidas y tomar medidas adicionales para garantizar que las herramientas de autenticación para cuentas privilegiadas de Microsoft Azure sean seguras», dijo la principal agencia de ciberseguridad de EE. UU.
Es un gran mes para las vulnerabilidades y exposiciones comunes de seguridad de Microsoft a las que todos los sectores, incluida la TI sanitaria, deberían prestar atención.
Tyler Reguly, gerente senior de investigación y desarrollo de seguridad de la firma de seguridad Fortra, dijo en Patch Tuesday esta semana que los 149 CVE que Microsoft emitió en abril mantendrán ocupadas a las empresas.
«Vimos 56, 73 y 61 CVE emitidos por Microsoft lanzados en enero, febrero y marzo», dijo por correo electrónico.
«Lo más notable es que un tercio de las vulnerabilidades hacen referencia a Microsoft Security Boot o Microsoft SQL Server. Además, las funciones de Azure, incluido Microsoft Defender para [Internet of Things]representan 15 de los CVE parcheados este mes”, añadió.
Andrea Fox es editora senior de Healthcare IT News.
Correo electrónico:afox@himss.org
Healthcare IT News es una publicación de HIMSS Media.
