Seguridad

Todo envuelto en la evolución del secuestro médico

Todo envuelto en la evolución del secuestro médico / Seguridad

Entre el siempre vertiginoso río de información personal robada, un tipo de datos ha consolidado su posición como el caviar de credenciales personales, y ahora es buscado por una amplia variedad de individuos y organizaciones infames. Los datos médicos se han elevado al top 5 Razones por las que aumenta el robo de identidad médica Cinco motivos por los que aumenta el robo de identidad médica Los estafadores quieren sus datos personales e información de cuentas bancarias, pero ¿sabía que sus registros médicos también son de su interés? Averigua qué puedes hacer al respecto. Lea más sobre la pila de robos de identidad y, como tales, las instalaciones médicas están encontrando un aumento continuo en el malware diseñado para robar esas credenciales privadas.

Medjack 2

A principios de este año, exploramos el informe MEDJACK Healthcare: el nuevo vector de ataque para los estafadores y los ladrones de identidad Healthcare: el nuevo vector de ataque para los estafadores y los ladrones de identidad Los registros de Healthcare son cada vez más utilizados por los estafadores para obtener ganancias. Si bien las ventajas de tener un registro médico digitalizado son enormes, ¿vale la pena colocar sus datos personales en la línea de fuego? Leer más, compilado por la firma de seguridad enfocada en el engaño, TrapX. Su informe inicial de MEDJACK ilustró una amplia gama de ataques centrados en instalaciones médicas en todo el país, con un enfoque en dispositivos médicos de hospitales. TrapX encontrado “Compromiso extenso de una variedad de dispositivos médicos que incluían equipos de rayos X, archivos de imágenes y sistemas de comunicaciones (PACS) y analizadores de gases en sangre (BGA),” así como notificar a las autoridades hospitalarias sobre una impresionante variedad de instrumentos vulnerables adicionales, que incluyen:

“Equipos de diagnóstico (escáneres PET, escáneres de tomografía computarizada, aparatos de resonancia magnética, etc.), equipos terapéuticos (bombas de infusión, láseres médicos y máquinas quirúrgicas LASIK) y equipos de soporte vital (máquinas de corazón-pulmón, ventiladores médicos, máquinas de oxigenación por membrana extracorpórea y máquinas de diálisis ) y mucho más.”

El nuevo informe, MEDJACK.2: Hospitales bajo asedio (¡Por cierto, me encanta este título!), Se ha basado en estos primeros detalles de la persistente amenaza que representan para las instalaciones médicas, y la compañía de seguridad proporciona un análisis detallado de la “en curso avanzado” ataques que tienen lugar.

Nuevas instituciones, nuevos ataques

Una de las cosas más interesantes que se detallan en el informe fueron las sofisticadas variantes de malware implementadas por los atacantes, diseñadas específicamente para que no parezcan ser una preocupación para los sistemas modernos de Windows. El gusano MS08-067, más conocido como Conficker, es conocido entre los profesionales de la seguridad y, de hecho, su firma es igualmente conocida por el software antivirus y de seguridad de puntos finales. Compare el rendimiento de su antivirus con estos 5 sitios principales Compare su Desempeño del antivirus con estos 5 sitios principales ¿Qué software antivirus debería usar? Cual es el mejor"? Aquí echamos un vistazo a cinco de los mejores recursos en línea para verificar el desempeño del antivirus, para ayudarlo a tomar una decisión informada. Lee mas .

La mayoría de las versiones recientes de Windows han erradicado la mayoría de las vulnerabilidades específicas que permitieron al gusano tener tanto éxito durante su “apogeo,” así que cuando se presentó al sistema de seguridad de la red de la instalación médica, parecía que no había una amenaza inmediata.

Sin embargo, el malware se seleccionó específicamente por su capacidad para explotar versiones antiguas de Windows que no se han encontrado en muchos dispositivos médicos. Esto es crítico por dos razones:

  1. Como las versiones más nuevas de Windows no eran vulnerables, no detectaron una amenaza, eliminando los protocolos de seguridad de los puntos finales que deberían haber intervenido. Esto aseguró la navegación exitosa del gusano a cualquier estación de trabajo de Windows antigua.
  2. El enfoque específico del ataque en versiones anteriores de Windows le otorgó una probabilidad significativamente mayor de éxito. Además de esto, la mayoría de los dispositivos médicos no cuentan con seguridad de puntos finales especializados, lo que nuevamente limita sus posibilidades de detección.

El cofundador de TrapX, Moshe Ben Simon, explicó:

“MEDJACK.2 agrega una nueva capa de camuflaje a la estrategia del atacante. Las herramientas nuevas y altamente capaces de atacantes están hábilmente escondidas dentro de malware muy antiguo y obsoleto. Es un lobo muy listo con ropas de ovejas muy viejas. Han planeado este ataque y saben que dentro de las instituciones de salud pueden lanzar estos ataques, sin impunidad ni detección, y establecer fácilmente puertas traseras dentro del hospital o red de médicos en las que pueden permanecer sin ser detectados, y exfiltrar datos durante largos períodos de tiempo..”

Vulnerabilidades específicas

Usando el gusano Conficker desactualizado como envoltorio, los atacantes pudieron moverse rápidamente entre las redes internas del hospital. Aunque TrapX no ha nombrado oficialmente a los proveedores de instalaciones médicas que estaban evaluando sus sistemas de seguridad, sí han detallado los departamentos específicos, los sistemas y los proveedores de equipos que se vieron afectados:

  • Hosptial # 1: Top 1,000 de hospitales globales
    • Proveedor A - Sistema de oncología de radiación
    • Proveedor A - Trilogy LINAC Gating system
    • Proveedor B - Sistema de Radiología de Flouroscopy
  • Hospital # 2: Top 2,000 de hospitales globales
    • Proveedor C - sistema PACS
    • Múltiples servidores de computadoras y unidades de almacenamiento
  • Hospital # 3: Top 200 de hospitales globales
    • Proveedor D - Máquina de rayos X

En el primer hospital, los atacantes comprometieron un sistema que ejecuta un sistema centralizado de detección de intrusiones, protección de puntos finales en toda la red y cortafuegos de próxima generación. A pesar de estas protecciones, los investigadores de seguridad encontraron puertas traseras en varios sistemas, como se detalla arriba.

El segundo hospital descubrió que su Sistema de comunicación y archivo de imágenes (PACS) se había comprometido para buscar dispositivos médicos vulnerables y datos de pacientes. Cómo se compran y venden datos de salud de sus aplicaciones Cómo se compran y venden datos de salud de sus aplicaciones La reciente explosión en la cantidad de aplicaciones de salud y bienestar físico significa que nuestros dispositivos recopilan una gran cantidad de datos de salud, que se están vendiendo. Leer más, incluyendo “Imágenes de película de rayos X, tomografía computarizada (TC), imágenes de resonancia magnética (MRI) junto con estaciones de trabajo, servidores y almacenamiento necesarios.” Un problema particular es que prácticamente todos los hospitales del país tienen al menos un servicio centralizado de PACS, y hay cientos de miles más en todo el mundo..

En el tercer hospital, TrapX encontró una puerta trasera en el equipo de X-Ray, una aplicación basada en Windows NT 4.0 ¿Recuerdas esto? 7 programas antiguos de Windows que todavía se usan hoy ¿recuerdas estos? 7 antiguos programas de Windows que todavía se usan hoy dicen que la tecnología avanza a un ritmo exponencial. ¿Pero sabías que algunos programas han existido por varias décadas? Únase a nosotros para dar un paseo por Nostalgia Lane y descubra los programas más antiguos de Windows. Lee mas . Aunque el equipo de seguridad del hospital. “Tenía considerable experiencia en ciberseguridad.,” no sabían por completo que su sistema había sido comprometido, de nuevo debido a que el malware llegó envuelto como una amenaza discreta.

Un peligro para los servicios?

La presencia de hackers en las redes médicas es, por supuesto, extremadamente preocupante. Pero parece que su intrusión en las redes de instalaciones médicas está motivada principalmente por el robo de registros médicos personales. Así es como lo piratean: el mundo turbio de los kits de exploits Así es como lo piratean: el mundo turbio de los kits de exploits Los estafadores pueden usar paquetes de software Para explotar vulnerabilidades y crear malware. ¿Pero cuáles son estos kits de explotación? ¿De dónde vienen? ¿Y cómo pueden ser detenidos? Lea más, en lugar de representar una amenaza directa para el hardware del hospital. En ese sentido, podemos estar agradecidos..

Muchos investigadores de seguridad tomarán nota del sofisticado malware camuflado Su nueva amenaza de seguridad para 2016: JavaScript Ransomware Su nueva amenaza de seguridad para 2016: JavaScript Ransomware Locky ransomware ha estado preocupando a los investigadores de seguridad, pero desde su breve desaparición y regreso como un JavaScript multiplataforma Amenaza de ransomware, las cosas han cambiado. Pero, ¿qué puedes hacer para derrotar el ransomware Locky? Lea más como versiones más básicas, diseñadas para eludir las soluciones de seguridad de punto final actuales. TrapX observó en su informe inicial de MEDJACK que, si bien se estaba utilizando un malware antiguo para obtener acceso a los dispositivos, esta es una escalada definitiva; Se notó el deseo de los atacantes de evitar cualquier control moderno de seguridad.. -

“Estos viejos envoltorios de malware están pasando por alto las soluciones de punto final moderno ya que las vulnerabilidades dirigidas se han cerrado hace mucho tiempo en el nivel del sistema operativo. Así que ahora, los atacantes, sin generar ninguna alerta, pueden distribuir sus conjuntos de herramientas más sofisticados y establecer puertas traseras dentro de las principales instituciones de salud, sin previo aviso ni alerta..”

Incluso si el objetivo principal es el robo de credenciales del paciente, la exposición de estas vulnerabilidades críticas significa solo una cosa: un sistema de salud más vulnerable, con más vulnerabilidades potenciales aún por exponer. O bien, redes que ya han sido comprometidas sin dar alarmas. Como hemos visto, este escenario es totalmente posible..

Los registros médicos se han convertido en una de las formas más lucrativas de información de identificación personal, buscada por una amplia gama de entidades maliciosas. Con precios que oscilan entre $ 10 y 20 por registro individual, existe un comercio eficaz en el mercado negro, impulsado por la aparente facilidad de acceso a otros registros..

El mensaje a las instalaciones médicas debe ser claro. La evolución de los registros de pacientes en una versión digitalizada fácilmente transferible es sin duda fantástica. Puede ingresar a casi cualquier instalación médica y ellos podrán acceder fácilmente a una copia de sus registros.

Pero con el conocimiento de que las puertas traseras son cada vez más comunes en dispositivos médicos que utilizan hardware progresivamente antiguo, debe haber un esfuerzo concertado entre los fabricantes de equipos y las instituciones médicas para trabajar juntos para mantener la seguridad de los registros de los pacientes..

¿Ha sido afectado por el robo de registros médicos? ¿Que pasó? ¿Cómo accedieron a tus registros? Háganos saber a continuación!

Créditos de imagen: monitor médico por sfam_photo a través de Shutterstock

Explorar más sobre: ​​Malware.