Estado del ransomware en los EE. UU .: Informe 2019 para Q1 a Q3
En los primeros nueve meses de 2019, al menos 621 entidades gubernamentales, proveedores de servicios de salud y distritos escolares, colegios y universidades se vieron afectados por el ransomware. Los ataques han causado una interrupción masiva: los servicios municipales y de emergencia han sido interrumpidos, las prácticas médicas se han cerrado permanentemente, los pacientes de urgencias han sido desviados, las transacciones de propiedades detenidas, la recaudación de impuestos a la propiedad y facturas de agua retrasadas, los procedimientos médicos cancelados, las escuelas cerradas y la pérdida de datos .
Estado, ciudad y entidades del condado
Al menos 68 entidades estatales, del condado y municipales se han visto afectadas desde principios de año. Los incidentes incluyen:
Lake City : en junio, Lake City fue vÃctima de un ataque de Ryuk. La demanda de rescate de $ 460,000 estaba cubierta por una póliza de seguro sujeta a un deducible de $ 10,000. El director de TI fue despedido y ahora está demandando a la ciudad. No se recuperaron todos los datos.
Baltimore En mayo, Baltimore se convirtió en la segunda ciudad de EE. UU. En ser golpeada por una variedad de ransomware llamada RobbinHood. La ciudad se negó a pagar la demanda de $ 76,000. El ataque causó una interrupción generalizada en la prestación de servicios, con las transacciones de propiedad, y la facturación de impuestos y agua se retrasó. Los costos de recuperación se han estimado en $ 18.2 millones.
New Bedford: en julio, New Bedford recibió la mayor demanda de rescate públicamente divulgada, $ 5,3 millones, después de que sus sistemas se vieron comprometidos. La ciudad hizo una contraoferta de $ 400,000, que fue rechazada. Los costos de recuperación se estiman en menos de $ 1 millón y serán cubiertos por el seguro.
Educación
Hubo un total de al menos 62 incidentes relacionados con distritos escolares y otros establecimientos educativos, que potencialmente afectaron las operaciones en hasta 1,051 escuelas, colegios y universidades individuales.
Distrito Escolar del Centro de Rockville : RCSD, un distrito con siete escuelas, fue vÃctima de un ataque de Ryuk en julio. El rescate fue pagado por la compañÃa de seguros de la escuela, que pudo negociar un pago de rescate más bajo, reduciendo la demanda de rescate de $ 176,000 a $ 88,000. A RCSD se le cobró un deducible de $ 10,000.
Escuelas públicas de Louisiana : en julio, los distritos escolares de tres parroquias del norte de Louisiana, Sabine, Morehouse y Ouachita, fueron atacados por ransomware. En respuesta, el gobernador John Bel Edwards declaró el estado de emergencia, lo que permitió que los recursos estatales (como los expertos en seguridad cibernética de la Guardia Nacional de Louisiana, la PolicÃa Estatal de Louisiana, la Oficina de Servicios de TecnologÃa y otros) se pusieran a disposición de las escuelas afectadas.
Distrito Escolar Moses Lake : En julio, el Distrito Escolar Moses Lake, que abarca 16 escuelas, fue afectado por un ataque de ransomware que se originó en una dirección IP en Moscú. El distrito se negó a pagar el rescate de $ 1 millón, en su lugar decidió reconstruir sus sistemas restaurando los servidores de las copias de seguridad fuera de lÃnea que tenÃan entre cuatro y cinco meses de antigüedad.
Cuidado de la salud
El sector de la salud continuó siendo un objetivo popular de ransomware. Los ciberdelincuentes entienden que los proveedores de atención médica a menudo están más inclinados a pagar el rescate, ya que si no lo hacen, pueden producirse pérdidas de datos que podrÃan poner en riesgo vidas. De Q1 a Q3 hubo un total de 491 ataques de ransomware contra proveedores de atención médica, que incluyen:
Centro de Salud Comunitario Park DuValle : en junio, un ataque de ransomware resultó en que el Centro de Salud Comunitario ParkDuvalle no pudo acceder a los registros médicos, los datos de contacto del paciente y la información del seguro. Durante siete semanas, las cuatro clÃnicas de ParkDuvalle no pudieron hacer citas y el personal se vio obligado a recurrir al uso de un sistema de lápiz y papel. ParkDuvalle finalmente acordó pagar el rescate de $ 70,000.
PerCSoft : a fines de agosto, PerCSoft, un servicio de administración en la nube que brinda soluciones de respaldo para consultorios dentales en los EE. UU., Fue infectado con una cepa de ransomware llamada Sodinokibi. Aproximadamente 400 consultorios dentales no pudieron acceder a la información del paciente. Varias fuentes afirman que se pagó el rescate, aunque no se especificó el monto total.
Campbell County Health : en septiembre, Campbell County Health, Wyoming, sufrió un ataque de ransomware que causó una interrupción generalizada. Se suspendieron los ingresos hospitalarios, se cancelaron las cirugÃas y los pacientes de urgencias fueron redirigidos a otros hospitales. Otras dos instituciones conectadas a Campbell County Health también se vieron afectadas por el ataque.
Tendencias
Los ataques a través de MSP están en aumento : los ciberdelincuentes se dirigen cada vez más al software comúnmente utilizado por MSP y otros proveedores de servicios de terceros. En tales ataques, múltiples clientes del MSP o proveedor de servicios pueden verse afectados simultáneamente, como fue el caso en el incidente de agosto en el que 22 ciudades y pueblos de Texas se vieron afectados.
Las demandas de rescate aumentan: la demanda de rescate promedio ha seguido aumentando en 2019. Al igual que otras empresas, las empresas criminales buscan maximizar sus ganancias y cobrar lo más que pueden por sus "servicios". Si una organización está dispuesta a pagar hasta $ 500,000, el próximo puede estar dispuesto a pagar $ 600,000.
Ciberseguro : es probable que las entidades aseguradas paguen las demandas, lo que hace que el ransomware sea rentable de lo que serÃa e incentiva nuevos ataques. Vea el informe de ProPublica La economÃa de la extorsión: cómo las compañÃas de seguros están alimentando un aumento en los ataques de ransomware.
Correo electrónico y protocolo de escritorio remoto : el correo electrónico y los archivos adjuntos y RDP siguen siendo los vectores de ataque elegidos. Este último es vulnerable al ransomware a través de la explotación en sistemas sin parches, configuraciones de seguridad mal configuradas y ataques de fuerza bruta en credenciales de inicio de sesión débiles.
Impacto financiero
Debido a la falta de datos disponibles públicamente, no es posible estimar el costo de estos incidentes. En Baltimore, los costos se estimaron en $ 18.2 millones; en Albany, Nueva York, que pudo restaurar sus datos a partir de copias de seguridad, a $ 300,000; mientras que un proveedor de servicios de salud relativamente pequeño estimó sus costos de tiempo de inactividad entre $ 30,000 y $ 50,000 por dÃa. Si los costos en todos los casos fueran similares a los de Albany, el costo total combinado de los 621 incidentes serÃa de $ 186,300,000.
Es importante tener en cuenta que no todos los costos serán directamente atribuibles al ataque del ransomware. En muchos casos, una parte de los costos representará un gasto de recuperación para compensar la falta de inversión en TI durante años anteriores.
Para llevar
"No hay razón para creer que los ataques serán menos frecuentes en el futuro cercano", dijo Fabian Wosar, CTO de Emsisoft. "Las organizaciones tienen que tomar una decisión muy simple: prepararse ahora o pagar después".
Opciones de recuperación para entidades afectadas
En algunos casos, puede ser posible reducir los costos de recuperación. Por ejemplo, hemos desarrollado soluciones para dos tipos de ransomware comúnmente utilizados en ataques a entidades públicas. Estas soluciones pueden, en algunos casos, eliminar completamente la necesidad de pagar un rescate o permitir la recuperación por un monto significativamente menor que la cantidad de la demanda de rescate.
Se desconoce si todas las entidades afectadas conocÃan estas soluciones alternativas.
Se necesita una mejor cooperación del sector público y privado.
Mejorar la coordinación y los canales de comunicación entre el sector privado y los organismos encargados de hacer cumplir la ley ayudarÃa a garantizar que las entidades afectadas conozcan la disponibilidad de posibles soluciones y soluciones alternativas que pueden ayudar a minimizar los costos de recuperación.
En una nota positiva, se han dado pasos en esta dirección: la Ley de equipos de respuesta a incidentes y caza cibernética del DHS, por ejemplo, que fue aprobada recientemente por el Senado de los Estados Unidos.
Notas
Este informe enumera solo los casos divulgados públicamente. Como los incidentes no se informan / registran de forma centralizada y los datos se han recopilado de informes de prensa, los números contenidos en este informe pueden ser inferiores al total real.
