Para el segundo trimestre de 2022, aumentó 90 % la cantidad de organizaciones de atención médica atacadas en comparación con el primer trimestre.
Debido a la pandemia del covid-19 que causo una gran contingencia sanitaria y obligo a los gobiernos de todo el mundo recomendar a los empleados trabajar desde sus hogares, el sector empresarial se vio forzado a migrar a esquemas de trabajo virtual, lo que implicó la instalación a toda marcha de sistemas de trabajo remoto, en los que muchas compañías confiaron desde el momento más crítico de esta emergencia hasta hoy.
Sin embargo, muchos de estos sistemas pueden presentar vulnerabilidades ante posibles ataques cibernéticos. De acuerdo con el informe ‘Q2 Threat Landscape, Ransomware Returns, Healthcare Hit’, realizado por Kroll, el sector de la salud fue el principal sector objetivo de estos incidentes superando a los servicios profesionales, anteriormente el primer fin de los ataques cibernéticos.
Según el reporte, para el segundo trimestre de 2022 aumentó un 90% la cantidad de organizaciones de atención médica atacadas en comparación con el primer trimestre, colocando el último clavo en el ataúd de la ‘tregua’ que algunos grupos criminales constituyeron antes de la pandemia.
A pesar de haberse duplicado el crecimiento en el volumen de ataques en los últimos tiempos, la atención médica ha sido un objetivo atractivo para los grupos de ransomware desde hace varios años atrás, ya que la interrupción de los sistemas críticos afecta los servicios que salvan vidas y puede alentar a las organizaciones de la salud a pagar las demandas de un rescate.
En gran medida, el ransomware ayudó a impulsar este repunte contra el cuidado de la salud a medida que los ataques aumentaron para volver a convertirse en la principal amenaza, debido a que entre los tipos de incidentes más comunes que afectaron al sector está el ransomware (33 %), seguido por el acceso no autorizado (28 %) y el compromiso de correo electrónico (28%).
De los casos de ransomware, es frecuente ver una táctica de doble extorsión en la que los ciberdelincuentes extraen datos antes del cifrado de la red y luego amenazan con filtrar los datos robados como ventaja durante las negociaciones.
Por otro lado, el phishing es un método común de acceso inicial para incidentes que afectan a esta actividad.
Este tipo de ataque continuó evolucionando a lo largo del segundo trimestre, ya que desde Kroll observamos que los actores de amenazas usaban malware antiguo y nuevo, como Qakbot y Bumblebee.
Como medida para contrarrestar estos ataques, las compañías han apostado por herramientas de monitoreo de seguridad (xDR) y antivirus (AV), pero en reacción a ello los ciberdelincuentes están extendiendo los ciclos de ataque para evadir aún más la detección.
Por eso, y a medida que las compañías se acercan cada vez más a un entorno de trabajo híbrido, es clave tener en cuenta las soluciones de detección y respuesta gestionadas (MDR), las cuales deben combinarse con mejores prácticas de seguridad, como la educación del usuario, quien deberá estar capacitado para reconocer, evitar y reportar procesos de descarga sospechosos.
Así mismo, es preciso recomendar que se implementen acciones y herramientas como la autenticación multifactor (MFA) en los servicios remotos, mantener sistemas internos inaccesibles a Internet, crear un cronograma regular de parches, pruebas y escaneo de vulnerabilidades, así como también verificar que las copias de seguridad estén disponibles, comprobar las capacidades de recuperación y tener alternativas manuales para las tareas electrónicas.
Es posible que, ahora más que nunca, sea necesario revisar los sistemas y servicios que se implementaron apresuradamente al comienzo de la pandemia para evitar que se conviertan en una vulnerabilidad de seguridad y un punto de acceso inicial para los ataques cibernéticos.