top of page
Buscar

El Estado del Ransomware en los EE. UU .: Informe y estadísticas 2019


Originalmente, este informe estaba programado para publicarse el 1 de enero de 2020. Sin embargo, hemos decidido publicarlo inmediatamente debido a un incidente reciente en el que un ataque de ransomware puede haber provocado que los datos de un gobierno municipal caigan en manos de cibercriminales. Creemos que este desarrollo eleva la amenaza del ransomware al nivel de crisis y que los gobiernos deben actuar de inmediato para mejorar su seguridad y mitigar los riesgos. Si no lo hacen, es probable que incidentes similares también den como resultado la información extremadamente confidencial que los gobiernos consideran robada y filtrada. Esperamos que la publicación temprana de este informe ayude a iniciar las discusiones y permita encontrar soluciones lo antes posible. Esas soluciones se necesitan desesperadamente. Los números contenidos en el informe se actualizarán en el Año Nuevo y, desafortunadamente, seguramente serán mayores que los números actualmente establecidos.


Actualización: 14 de diciembre de 2019: dentro de las 24 horas posteriores a la publicación de este informe, la ciudad de Nueva Orleans y varias otras entidades públicas fueron víctimas de ataques de ransomware. Repetimos la advertencia anterior: el nivel de amenaza ahora es extremo y los gobiernos deben actuar de inmediato para mejorar su preparación y mitigar sus riesgos.


¿Que pasó?

En 2019, los EE. UU. Se vieron afectados por un aluvión de ataques de ransomware sin precedentes e implacable que impactó al menos a 948 agencias gubernamentales, establecimientos educativos y proveedores de atención médica a un costo potencial de más de $ 7.5 mil millones. Las organizaciones afectadas incluyeron:


  • 103 gobiernos y agencias estatales y municipales.

  • 759 proveedores de atención médica.

  • 86 universidades, colegios y distritos escolares, con operaciones en hasta 1,224 escuelas individuales potencialmente afectadas.


Los incidentes no fueron simplemente inconvenientes costosos; La interrupción que causaron puso en riesgo la salud, la seguridad y la vida de las personas.


  • Los pacientes de emergencia tuvieron que ser redirigidos a otros hospitales.

  • Los registros médicos eran inaccesibles y, en algunos casos, se perdieron permanentemente.

  • Se cancelaron los procedimientos quirúrgicos, se pospusieron las pruebas y se detuvieron las admisiones.

  • Los servicios del 911 fueron interrumpidos.

  • Los centros de despacho tuvieron que confiar en mapas impresos y registros de papel para realizar un seguimiento de los servicios de emergencia en el campo.

  • La policía fue excluida de los sistemas de verificación de antecedentes y no pudo acceder a detalles sobre antecedentes penales o órdenes de detención activas.

  • Los sistemas de vigilancia se desconectaron.

  • Los escáneres de placas y los sistemas de acceso a edificios dejaron de funcionar.

  • Las puertas de la cárcel no se podían abrir de forma remota.

  • Las escuelas no podían acceder a los datos sobre los medicamentos o las alergias de los estudiantes.

"El hecho de que no hubo muertes confirmadas relacionadas con el ransomware en 2019 se debe simplemente a la buena suerte, y esa suerte puede no continuar en 2020. Los gobiernos y los sectores de salud y educación deben mejorar". - Fabian Wosar, CTO, Emsisoft.


Otros efectos de los incidentes incluyen:


  • Las transacciones de propiedad fueron detenidas.

  • No se pudieron emitir facturas de servicios públicos.

  • Las subvenciones a organizaciones sin fines de lucro se retrasaron por meses.

  • Los sitios web se desconectaron.

  • Los portales de pago en línea eran inaccesibles.

  • Los sistemas de correo electrónico y teléfono dejaron de funcionar.

  • Las licencias de conducir no se pudieron emitir ni renovar.

  • Los pagos a los vendedores se retrasaron.

  • Escuelas cerradas.

  • Se perdieron las calificaciones de los estudiantes.

  • Los plazos de pago de impuestos tuvieron que extenderse.


Este informe examina el costo y las causas de los incidentes, discute los cursos de acción que deben tomarse y desglosa los números por sector.

¿Cuál fue el costo?

Debido a la falta de datos disponibles públicamente, no es posible estimar con precisión el costo de estos incidentes. Quizás la mejor indicación del costo potencial proviene de una declaración realizada por el Director de Información del Condado de Winnebago, Gus Gentner, en septiembre: "Las estadísticas nos permiten saber que el incidente promedio de ransomware cuesta $ 8.1 millones y 287 días para recuperarse".


No podemos comentar sobre la precisión de esa declaración, pero, si es correcto, el costo combinado de los incidentes de ransomware de 2019 podría superar los $ 7,5 mil millones. Si bien creemos que esto exagera los costos reales (es poco probable que los gastos de recuperación de un pequeño distrito escolar alcancen las siete cifras), sin embargo, proporciona una indicación del enorme impacto financiero de estos incidentes.


Cabe señalar que estos incidentes también tuvieron un impacto económico más amplio. Por ejemplo, en algunos casos, las compañías no pudieron obtener los permisos y la documentación necesarios para llevar a cabo cierto trabajo, interrumpiendo y retrasando sus operaciones. Estimar estos costos está más allá del alcance de este informe.


¿Por qué sucedió?

Los incidentes de ransomware aumentaron considerablemente en 2019 debido a las debilidades de seguridad existentes de las organizaciones y al desarrollo de mecanismos de ataque cada vez más sofisticados diseñados específicamente para explotar esas debilidades. Combinados, estos factores crearon una tormenta casi perfecta. En años anteriores, las organizaciones con seguridad inferior a la normal escaparon impunes; En 2019, se hicieron muchos más para pagar el precio, tanto en sentido figurado como literal.


Un informe emitido por el Auditor Estatal de Mississippi en octubre de 2019 declaró que había un "desprecio por la ciberseguridad en el gobierno estatal", que "muchas entidades estatales funcionan como leyes estatales y federales de ciberseguridad que no se aplican a ellos", e identificaron problemas que incluyen:


  • No tener un plan de política de seguridad o un plan de recuperación ante desastres implementado.

  • No realizar evaluaciones de riesgo legalmente obligatorias.

  • No encriptar información confidencial.

El informe también indicó que "Más de la mitad de los encuestados cumplían menos del 75 por ciento con el Programa de seguridad empresarial". El programa establece requisitos mínimos de seguridad y la ley exige el cumplimiento.


Cabe señalar que solo una minoría de estados realiza auditorías en todo el estado y, a pesar de las múltiples deficiencias graves que identificó la auditoría de Mississippi, sin embargo, fue uno de los estados menos afectados por el ransomware en 2019. Esto da lugar a una pregunta obvia: las auditorías en otros estados revelan que su seguridad es aún peor?


Un informe de investigación de la Universidad de Maryland, Condado de Baltimore de 2019 basado en datos de una encuesta nacional de seguridad cibernética en gobiernos locales de los EE. UU. Declaró que "Las barreras serias para su práctica de seguridad cibernética incluyen la falta de preparación de seguridad cibernética dentro de estos gobiernos y su financiación", y que "Los gobiernos locales en su conjunto hacen un mal trabajo al administrar su ciberseguridad". Los problemas identificados incluyeron:


  • Poco más de un tercio no sabía con qué frecuencia ocurrían los incidentes de seguridad, y casi dos tercios no sabían con qué frecuencia se violaron sus sistemas.

  • Solo minorías de gobiernos locales informaron que tienen una capacidad muy buena o excelente para detectar, prevenir y recuperarse de eventos que podrían afectar negativamente a sus sistemas.

  • Menos de la mitad de los encuestados dijeron que catalogaron o contaron los ataques.


En algunos casos, los gobiernos no pudieron implementar incluso las mejores prácticas de TI más básicas. Por ejemplo, Baltimore experimentó pérdida de datos porque los datos residían solo en sistemas de usuarios finales para los cuales no existía un mecanismo de respaldo.


“Nuestra investigación ha demostrado que la mayoría de los gobiernos locales estadounidenses hacen un mal trabajo al practicar la ciberseguridad. Deben hacerlo mejor. Y pueden comenzar estableciendo una cultura de ciberseguridad en todas sus organizaciones para proteger mejor la información de los ciudadanos y mantener la prestación continua de servicios. ”- Donald F. Norris, PhD, Profesor Emérito, UMBC; Laura Mateczun, JD, estudiante de doctorado en Políticas Públicas, UMBC.


El hecho de que los gobiernos no estén implementando las mejores prácticas básicas y bien establecidas, incluso cuando se requiere legalmente para hacerlo, solo puede describirse como muy negligente, especialmente porque estas entidades saben muy bien que es probable que sean el objetivo de la campaña en curso. de ciberataques. No hay excusa para esto. Necesitan hacerlo mejor. Deben hacerse para hacerlo mejor.


A menos que los gobiernos mejoren su postura de seguridad cibernética, los ataques de ciberataques contra ellos continuarán teniendo éxito.


¿Lo que hay que hacer?

No hay una sola bala de plata. Se necesitan múltiples iniciativas para que las entidades públicas sean más seguras y menos susceptibles a los ataques de ransomware y otros incidentes de seguridad.


  • Mejores estándares de seguridad y supervisión: el informe del Auditor Estatal de Mississippi y la investigación de UMBC indican importantes deficiencias en la seguridad de los gobiernos. Para abordar esto, todas las agencias gubernamentales y otras organizaciones que brindan servicios críticos deben estar sujetas a los estándares de seguridad de referencia obligatorios federales o estatales y auditados para garantizar que se cumplan dichos estándares. Además, dado que el caso de Mississippi demuestra claramente que las leyes y las auditorías no necesariamente resultan en el cumplimiento, se deben establecer mecanismos que permitan a las agencias verse obligadas a cumplir con esos estándares.

  • Más orientación: la ciberseguridad es compleja y hacerlo bien puede ser un desafío, especialmente para las organizaciones más pequeñas. Un pequeño municipio necesita un nivel de seguridad similar al de una gran ciudad, pero tiene menos recursos humanos y financieros para lograrlo. Cuanto más pequeña es la organización, mayor es el desafío. ¿Y qué deben hacer exactamente las organizaciones para lograr un nivel de seguridad satisfactorio? ¿Debería un pequeño distrito escolar invertir en pruebas de penetración anuales, monitoreo de seguridad de red de terceros, ambos o ninguno de estos? En la actualidad, incluso las organizaciones más pequeñas necesitan realizar su propia investigación y hacer estas llamadas por sí mismas. Esto es un desperdicio innecesario de recursos y una receta para el desastre, ya que, claramente, muchas organizaciones no están tomando las decisiones correctas. En consecuencia, como se mencionó anteriormente, se deben establecer estándares de seguridad de referencia. Esto es importante no solo para lograr niveles de seguridad aceptables de manera constante, sino también para garantizar que los presupuestos se gasten de manera inteligente.

  • Deuda y financiación de seguridad: la falta de inversión en TI ha provocado que muchas organizaciones acumulen una deuda de seguridad, y las debilidades de seguridad son el resultado de esa deuda. Según la investigación de UMBC, más del 50 por ciento de los gobiernos identificaron la falta de fondos como una barrera para la seguridad cibernética y esto es casi seguramente un problema en los sectores de educación y salud también. Resolver el problema puede simplemente requerir que las organizaciones reasignen sus presupuestos existentes, o puede requerir que el gobierno federal o estatal proporcione fondos adicionales. En cualquier caso, es un problema que debe abordarse.

  • Cerrar la brecha de inteligencia: actualmente, no existe un requisito legal para que las entidades públicas informen o divulguen incidentes de ransomware y, como resultado, hay relativamente pocos datos disponibles sobre los incidentes. Sin embargo, la información como la cepa de ransomware utilizada, el vector de ataque, la vulnerabilidad explotada y el impacto financiero de los incidentes es fundamental, ya que puede ayudar a otras organizaciones a comprender mejor el panorama de amenazas y evaluar mejor sus prioridades de seguridad. Por ejemplo, si las organizaciones saben qué debilidades permitieron que otras organizaciones se vean comprometidas, pueden asegurarse de que no tienen las mismas debilidades. Para cerrar la brecha de inteligencia, se deben introducir requisitos de informes y los datos recopilados se deben agregar, anonimizar y compartir. Como Algirde Pipikaite (Foro Económico Mundial) y Marc Barrachin (S&P) declararon recientemente: "La información es poder y, en ciberseguridad, es el poder para prevenir otros eventos similares".

  • Mejor cooperación entre el sector público y el privado: establecer canales de comunicación más fuertes entre los sectores público y privado es importante para coordinar los esfuerzos contra el ransomware. La inteligencia compartida permitiría a ambos sectores responder a los incidentes de manera más efectiva y reducir los costos de recuperación para las entidades afectadas. La inteligencia compartida es especialmente importante ya que, por varias razones, las compañías de seguridad no siempre pueden ser completamente transparentes sobre los métodos que utilizan para evadir el ransomware o hacer públicos los detalles de esos métodos. Por ejemplo, los grupos de ransomware podrían corregir errores en su código si se dieran cuenta de que 1) esos errores existían y 2) una compañía de seguridad los explotaba activamente para ayudar a las víctimas. En consecuencia, debe existir un método que permita que la información se comparta de manera segura entre las fuerzas del orden público federales y estatales, otras compañías de seguridad y compañías de respuesta a incidentes. Sin ese canal de comunicación, y actualmente no existe, las agencias afectadas pueden no descubrir que hay una solución disponible y podrían pagar rescates innecesariamente o incurrir innecesariamente en otros costos. En una nota positiva, la legislación como la Ley de equipos de respuesta a incidentes y caza cibernética del DHS, que fue aprobada recientemente por el Senado de los Estados Unidos, es sin duda un paso en la dirección correcta.

  • Restricciones legislativas sobre los pagos de rescate: en algunos casos, las agencias públicas optaron por pagar rescates porque hacerlo era menos costoso que otras opciones de recuperación. Por ejemplo, Lake City eligió pagar un rescate de $ 460,000 a pesar de que la ciudad pudo haber recuperado sus datos por otros medios. Según un informe de ProPublica, “El alcalde [de Lake City], Witt, dijo en una entrevista que estaba al tanto de los esfuerzos para recuperar los archivos de respaldo, pero prefirió que la aseguradora pagara el rescate porque era menos costoso para la ciudad. "Pagamos un deducible de $ 10,000, y esperamos volver al negocio", dijo. "Esto es un problema. Dichas decisiones no deben tomarse sobre la base de un simple análisis de costo-beneficio. La cuestión de si usar dólares de impuestos para pagar a los extorsionistas no es una decisión comercial corriente y la opción más barata no es necesariamente la mejor opción. Al pagar rescates, las agencias públicas están incentivando a los cibercriminales y ayudando a perpetuar el ciclo del delito cibernético. Si bien una prohibición general puede no ser práctica, el gobierno debería considerar legislar para evitar que las agencias públicas paguen rescates cuando otras opciones de recuperación estén disponibles para ellos. Si bien esto puede aumentar los costos inicialmente, sería menos costoso a largo plazo. Parece extrañamente inconsistente que el gobierno de EE. UU. Tenga una política de no concesiones en relación con los rescates humanos, pero no impone restricciones en absoluto a los rescates de datos. En ambos casos, negarse a cumplir con las demandas de los extorsionistas desincentiva otros intentos de extorsión y, por supuesto, viceversa.

  • Los proveedores y los proveedores de servicios deben hacer más: es seguro asumir que todas las entidades públicas tienen soluciones de seguridad, pero, a pesar de eso, muchos fueron afectados por el ransomware. Esto no es suficientemente bueno. Los proveedores y proveedores de servicios deben avanzar, innovar, colaborar y hacer más para proteger tanto a sus clientes como a sus clientes. Por ejemplo, se lanzó un número significativo de ataques de ransomware en 2019 a través de las herramientas de monitoreo y administración remota (RMM) utilizadas por los proveedores de servicios administrados (MSP), lo que permitió que varios clientes de los MSP se comprometieran simultáneamente: más de 400, en un incidente . Estos ataques fueron totalmente previsibles y en su mayoría prevenibles. En la mayoría de los casos, los ataques tuvieron éxito porque la autenticación de dos o múltiples factores no se había habilitado en el RMM. Si bien los RMM admiten 2FA / MFA, los proveedores no hicieron obligatorio su uso y algunos MSP decidieron no usarlo. Desde entonces, la mayoría de los proveedores de RMM han hecho obligatorio el uso de 2FA / MFA, pero no lo hicieron hasta que sus soluciones se utilizaron como plataformas de lanzamiento para ataques de ransomware a gran escala. Esto no es aceptable. La industria debe ser proactiva en lugar de reactiva y los proveedores de servicios no deben priorizar la conveniencia sobre la seguridad.

Perspectivas y observaciones

  • Seguro cibernético: las organizaciones que tienen seguro cibernético pueden estar más inclinadas a pagar las demandas de rescate, lo que hace que el ransomware sea más rentable de lo que sería e incentiva nuevos ataques. "La lección que muchos gobiernos parecen haber extraído de estos ataques no es que necesiten mejores protecciones de redes y datos, así como planes de respuesta a incidentes más efectivos, sino que lo que más necesitan es más cobertura de seguro para ayudar a pagar los rescates exigió de ellos, un fenómeno que solo contribuye a más ransomware y delincuentes mejor financiados ", dice Josephine Wolff, profesora asistente de política de ciberseguridad en The Fletcher School, Tufts University. Para ser claros, esto no quiere decir que las agencias públicas no deberían contratar un seguro cibernético, por el contrario, puede ser una inversión muy sensata, sino que el seguro no debe considerarse una alternativa a los programas de seguridad con fondos y recursos adecuados.

  • Los incidentes se pueden prevenir: mientras que 948 agencias gubernamentales, distritos escolares y proveedores de atención médica se vieron afectados por el ransomware en 2019, ningún banco reveló un incidente de ransomware. Esto no se debe a que los bancos no son objetivo; es porque tienen una mejor seguridad y, por lo tanto, es menos probable que los ataques contra ellos tengan éxito. Si las agencias gubernamentales simplemente se adhirieran a las mejores prácticas estándar de la industria, como garantizar que todos los datos estén respaldados y usar autenticación multifactor en todos los lugares donde deberían usarse, eso solo sería suficiente para reducir la cantidad de ataques exitosos, su gravedad y la interrupción que causan.

  • Las copias de seguridad no son una panacea: con demasiada frecuencia, la respuesta de las organizaciones a la crisis del ransomware es simplemente invertir en un mejor sistema de copias de seguridad. Si bien un sistema de copia de seguridad bien diseñado debe proteger las copias de seguridad de que se cifren o eliminen, usar esas copias de seguridad para reconstruir los sistemas a un estado completamente operativo después de un incidente de ransomware es un proceso que puede llevar semanas o meses, durante los cuales las organizaciones continuarán experimentando una interrupción significativa . En consecuencia, se debe hacer hincapié en la prevención y detección, y especialmente en organizaciones como hospitales que brindan servicios críticos y no pueden permitirse el tiempo de inactividad. En particular, las organizaciones deben asumir que se romperán sus perímetros y monitorear sus entornos en busca de signos de compromiso. Por ejemplo, Emotet, que a menudo se usa como plataforma de lanzamiento para ataques, puede estar presente en una red durante días, semanas o incluso meses antes de usarse para implementar ransomware. Esto proporciona a las organizaciones una ventana de oportunidad durante la cual la amenaza se puede detectar y neutralizar antes de que ocurra un ataque de ransomware. La prevención y la detección son especialmente importantes dado el mayor riesgo de que los datos se filtren y se hagan públicos durante los ataques de ransomware (ver más abajo). Para ser claros, no estamos minimizando la importancia de las copias de seguridad; Es absolutamente crítico que todas las organizaciones tengan un sistema de respaldo robusto y seguro.

  • Exfiltración de datos: en noviembre, un ataque de ransomware contra Allied Universal, una empresa de personal de seguridad, resultó en que los datos no solo se cifraron, sino que también se filtraron y una parte de ellos se hizo pública. El mal actor usó los datos no filtrados restantes como palanca adicional, amenazando con liberarlos también si Allied Universal no paga el rescate. Esperamos que los ataques de "doble golpe" como este se vuelvan más comunes. Este es un desarrollo extremadamente preocupante, especialmente dada la extrema sensibilidad de los datos que poseen las agencias del sector público, y demuestra aún más la necesidad de poner énfasis en la prevención y detección.


Desglose por sector

Agencias estatales, municipales y otras agencias gubernamentales.


Al menos 103 entidades gubernamentales se vieron afectadas por el ransomware en 2019 con incidentes notables que incluyen:

  • Baltimore: el 7 de mayo, las computadoras del gobierno de la ciudad de Baltimore se infectaron con una cepa agresiva de ransomware conocida como RobbinHood. El ataque interrumpió a casi todos los departamentos gubernamentales y afectó el mercado inmobiliario ya que no se pudieron completar las transferencias de propiedades. La ciudad se negó a pagar el rescate de 13 bitcoins (más de $ 75,000). Los costos de recuperación se han estimado en más de $ 18 millones.

  • Riviera Beach: en junio, Riviera Beach, Florida, fue golpeada con ransomware cuando un empleado del departamento de policía abrió un archivo adjunto de correo electrónico malicioso. El ataque cerró muchos servicios, incluido el sitio web de la ciudad, el servidor de correo electrónico y el sistema de facturación. El Consejo Municipal de Riviera Beach votó por unanimidad para pagar la demanda de rescate de $ 600,000 e invirtió más de $ 900,000 en nuevo hardware para reconstruir su infraestructura de TI.

  • New Bedford: en julio, New Bedford, Massachusetts, fue atacado con el ransomware Ryuk, que cifraba los datos de 158 computadoras. Los atacantes exigieron un rescate de $ 5.3 millones, que era la mayor demanda que se divulgaría públicamente en ese momento, y rechazaron la contraoferta de la ciudad de $ 400,000. El costo de recuperación se estima en menos de $ 1 millón, que la ciudad espera que esté cubierto por un seguro. El incidente resultó en retrasos en los pagos de subvenciones a organizaciones sin fines de lucro por más de tres meses.


Educación


Hubo al menos 86 universidades, colegios y distritos escolares afectados, lo que interrumpió las operaciones en hasta 1,224 escuelas individuales.


  • Escuelas públicas de Louisiana: en julio, el gobernador de Louisiana, John Bel Edwards, declaró el estado de emergencia después de que tres distritos de escuelas públicas, Sabine, Morehouse y Ouachita, fueron víctimas de ransomware. Se movilizaron recursos estatales, incluidos expertos en ciberseguridad de la Guardia Nacional de Louisiana, la Policía Estatal de Louisiana, la Oficina de Servicios Tecnológicos y otros, para ayudar a las escuelas. En noviembre se declaró nuevamente el estado de emergencia cuando un ataque de ransomware afectó al 10 por ciento de los 5,000 servidores de red de Louisiana y más de 1,500 computadoras.

  • Distrito Escolar del Centro Rockville: El 25 de julio, el Distrito Escolar del Centro Rockville fue infectado con el ransomware Ryuk. La compañía de seguros del distrito pudo negociar la demanda inicial de rescate de $ 176,000 hasta $ 88,000. La aseguradora del distrito cubrió el rescate, aunque a RCSD se le cobró un deducible de $ 10,000.

  • Escuelas públicas de Las Cruces: a fines de octubre, un ataque de ransomware forzó el cierre de miles de servidores y dispositivos en las escuelas públicas de Las Cruces, un distrito escolar con sede en Las Cruces, Nuevo México. El distrito no se involucró con el atacante. Unos 30,000 dispositivos necesitaban ser reformateados y sus sistemas operativos reinstalados antes de que pudieran usarse para acceder a Internet. Esta fue la tercera vez en los últimos seis años que las Escuelas Públicas de Las Cruces han sido atacadas.


Cuidado de la salud


Las organizaciones de atención médica están bajo una inmensa presión para pagar las demandas de rescate, ya que el incumplimiento podría resultar en una interrupción que podría poner en peligro la vida de los pacientes. El sector de la salud fue el objetivo más popular en 2019, con al menos 759 proveedores afectados por el ransomware.


  • Wood Ranch Medical: el 10 de agosto, Wood Ranch Medical, con sede en California, sufrió un ataque de ransomware que impidió el acceso a los registros médicos de 5.835 pacientes. El sistema de respaldo de la práctica fue encriptado durante el ataque, haciendo imposible la recuperación de datos. El impacto fue tan severo que el proveedor anunció que cerraría permanentemente sus puertas. A principios de año, Brookside ENT y Hearing Center, Michigan, también cerraron después de que sus sistemas fueron borrados durante un ataque de ransomware.

  • Campbell County Health: en septiembre, Campbell County Health en Gillette, Wyoming, se enfrentó a graves interrupciones después de ser víctima de ransomware. Las cirugías fueron canceladas, los pacientes de urgencias fueron transferidos a centros de atención alternativa y el hospital se vio obligado a dejar de aceptar nuevos ingresos hospitalarios. Las clínicas continuaron teniendo acceso limitado a la información del paciente cuatro semanas después del ataque.

  • DCH Health Systems: en octubre, el grupo de hospitales de Alabama DCH Health Systems, que incluye hospitales en Tuscaloosa, Fayette y Northport, fue golpeado con el ransomware Ryuk. Los hospitales se vieron obligados a dejar de admitir a todos los nuevos pacientes no críticos y el personal médico tuvo que confiar en los sistemas de papel y lápiz, ya que los registros digitales no estaban disponibles. DCH pudo restaurar algunos de sus servidores a partir de copias de seguridad, pero pagó una suma no revelada para recuperar el acceso a otros sistemas encriptados.


Conclusión

Al igual que otras empresas, las empresas criminales persiguen estrategias que han demostrado funcionar. Dado que se ha comprobado que los ataques de ransomware contra gobiernos, proveedores de atención médica e instituciones educativas funcionan, es probable que estos sectores continúen siendo un objetivo importante en 2020. Además, dados los recursos financieros ahora disponibles para los malos actores y las ganancias significativas que se pueden obtener. Sin embargo, las organizaciones de estos sectores deben esperar que los ataques aumenten tanto en sofisticación como en frecuencia, posiblemente con la amenaza de que la liberación de datos extraídos se utilice como un apalancamiento adicional para extorsionar el pago.


Los pagos son el combustible que impulsa el ransomware. La única forma de detener el ransomware es hacerlo no rentable, y eso significa que el sector público debe practicar una mejor ciberseguridad para que no se paguen los rescates.


Los gobiernos deben actuar, y deben actuar ahora.


"2020 no tiene por qué ser una repetición de 2019. Los niveles adecuados de inversión en personas, procesos y TI darían como resultado una cantidad significativamente menor de incidentes de ransomware y esos incidentes que ocurrieron serían menos severos, menos disruptivos y menos costosos". - Fabian Wosar, CTO Emsisoft.



GRACIAS Y NOTAS

Nos gustaría agradecer a los académicos, periodistas, investigadores de seguridad y otras personas que amablemente compartieron información con nosotros en el transcurso de 2019. Sin esa información, no hubiéramos podido ayudar a tantas víctimas de ransomware como lo hicimos. Esperamos que la información que pudimos compartir con ellos sea igualmente útil.


Este informe se basa en datos de múltiples fuentes, incluidos informes de prensa, y casi con toda seguridad subestima el número real de incidentes. El informe no incluye datos relacionados con ataques a empresas privadas, ya que estos incidentes se divulgan con poca frecuencia para permitir la producción de estadísticas significativas.


113 visualizaciones

Unete a nuestra lista de correo

No te pierdas ninguna actualización

Gracias por tu mensaje!

bottom of page