Los hospitales son una de las infraestructuras críticas más relevantes en todo momento, y más especialmente en los días que corren dada la situación de emergencia sanitaria global por COVID-19. En estos momentos, es imprescindible que los hospitales funcionen lo mejor posible,sin ningún tipo de contratiempo.
No obstante, no hay que perder de vista que todo el sector está en plena revolución tecnológica y ahora toda la información se almacena en formato digital, algo muy beneficioso para el paciente. Toda esta información se encuentra además disponible a través de la red así, en caso de cambio de médico, por ejemplo, el facultativo puede acceder de forma sencilla al historial del paciente. Es este mismo adelanto el que genera un serio problema de seguridad para la industria sanitaria. La información médica es muy valiosa, por lo que quien logre hacerse con ella puede obtener suculentos beneficios.
Los hospitales son hoy objetivos muy populares para el cibercrimen, debido a la cantidad de datos personales que manejan y sus sistemas informáticos anticuados, entre otros motivos. Algunos grupos cibercriminales han dicho que no atacarán a los hospitales durante la pandemia actual, pero otros han hecho caso omiso a esta iniciativa loable. Sin ir más lejos, en la República Checa, a mediados de marzo, un ciberataque paralizó un hospital universitario que lleva a cabo pruebas e investigaciones para mitigar la expansión del Coronavirus.
España: foco de infecciones y del ransomware Netwalker
España ha sido uno de los países que ha sido más afectado por la pandemia y sus hospitales están trabajando sin parar para atender a los pacientes. Pero ahora los hospitales españoles tienen otra preocupación apremiante: el ransomware.
Este pasado domingo, los organismos nacionales de ciberseguridad detectaron un intento de bloquear los sistemas informáticos de los hospitales españoles mediante el envío de emails maliciosos al personal sanitario. Estos emails contienen un archivo adjunto que supuestamente contiene información acerca del coronavirus covid-19 en un archivo llamado “CORONAVIRUS_COVID-19.vbs.”
Incrustado en este archivo hay un ejecutable del ransomware Netwalker y código ofuscado para extraer y lanzar este ransomware en el equipo de la víctima. Una vez ejecutado, Netwalker cifra los archivos del equipo y añade una extensión aleatoria a los archivos cifrados.
Una vez acabado este proceso, el ransomware deja una nota de rescate llamado [extensión]-Readme.txt. Dentro de la nota están las instrucciones para recuperar los archivos cifrados.
La buena noticia es que aún no ha empezado la distribución masiva de esta ciberamenaza. No obstante, dada la situación de emergencia en el país, un ciberataque de este tipo sobre un centro médico tendría consecuencias devastadoras.
El vaciado de procesos: una técnica de evasión
Netwalker ataca a sistemas de Windows 10 y es capaz de desactivar el software antivirus. Sin embargo, para evitar hacer sonar las alarmas, no desactiva los sistemas de seguridad EPP. Inyecta código malicioso directamente en Windows Explorer.
Para evitar ser detectados, emplea una técnica llamada ‘vaciado de procesos’. En este proceso, se borra el mapeo de los procesos en estado de suspensión y se reemplaza con código malicioso. Con esta técnica es posible sortear las soluciones de ciberseguridad que emplean las listas blancas y las firmas para detectar el malware.
Cómo proteger a los hospitales
En estos momentos, es más importante que nunca que los hospitales estén a salvo. Para asegurar su protección, es imprescindible que todos hagan un esfuerzo para evitar la llegada del ransomware a los sistemas informáticos del sector sanitario.
La primera medida, que tiene que ser algo fundamental en el plan de ciberseguridad, es tener mucho cuidado con los correos electrónicos. El email es uno de los principales vectores de entrada para el malware y es también un vector que existe en todas las empresas. Para protegerlo, es imprescindible que nunca abramos archivos adjuntos que provienen de desconocidos. Es más, es vital no hacer clic en los enlaces dentro de emails de desconocidos, ya que también pueden facilitar la entrada del malware.
Otra medida imprescindible son las soluciones de ciberseguridad avanzadas. Panda Adaptive Defense es capaz de monitorizar toda la actividad en todos los endpoints de la red. No utiliza las firmas para detectar el malware. En cambio, cualquier proceso desconocido se detiene antes de que se pueda ejecutar, se analiza, y solo se permite su ejecución si es clasificado como legítimo. Esta postura de confianza cero garantiza la seguridad de tu sistema informático.
Debido a la importancia de proteger este sector tan vital, durante el estado de alarma en España, Cytomic, unit of Panda, está proporcionando soluciones de seguridad endpoint gratuitas a empresas del sector sanitario, para que puedan seguir desempeñando su actividad de forma eficiente en estos días críticos, sin tener que preocuparse por su ciberseguridad.