UHS restaura los sistemas hospitalarios después del ataque de ransomware de Ryuk

UHS restaura los sistemas hospitalarios después del ataque de ransomware de Ryuk

Universal Health Services (UHS), un hospital y proveedor de atención médica de Fortune 500, dice que logró restaurar los sistemas después de un ataque de ransomware Ryuk en septiembre.

UHS tiene más de 90.000 empleados que brindan servicios de atención médica a aproximadamente 3,5 millones de pacientes al año a través de una red de más de 400 centros de atención médica en los EE. UU. Y el Reino Unido.

Índice()

    Los hospitales de UHS vuelven a sus operaciones normales

    El ataque de ransomware al que el servicio de salud se refiere como un "incidente de seguridad" ocurrió en las primeras horas del domingo 27 de septiembre y obligó a los empleados de UHS a cerrar todos los sistemas para evitar que el malware se propague a los sistemas de red. no interesado.

    "Como resultado de este ciberataque, hemos suspendido el acceso de los usuarios a nuestras aplicaciones de tecnología de la información relacionadas con las operaciones ubicadas en los Estados Unidos", dice UHS en los resultados financieros del tercer trimestre de 2020 de la compañía. relación es un Almacenamiento 8K con la Comisión de Bolsa y Valores de los Estados Unidos (SEC).

    "Si bien nuestras aplicaciones de TI estaban fuera de línea, la atención al paciente se brindó de manera segura y eficaz en nuestras instalaciones en todo el país utilizando procesos de respaldo establecidos, incluidos métodos de documentación fuera de línea".

    Desde entonces, UHS ha restaurado los sistemas informáticos más afectados en los hospitales de cuidados intensivos y del comportamiento, al tiempo que ha recuperado los sistemas vitales para las operaciones del hospital, incluidos los necesarios para el laboratorio y para la gestión de registros electrónicos de pacientes.

    "Con la retrocarga de datos sustancialmente completada en este momento, nuestros hospitales están reanudando las operaciones normales", dijo la compañía. explica.

    UHS dice que inició el proceso de restauración de todas las operaciones comerciales y la infraestructura de TI (TI) inmediatamente después del ataque.

    También investigó el posible ataque del ransomware con la ayuda de proveedores de servicios de seguridad y TI de terceros.

    Hasta ahora, UHS dice que la investigación en curso no ha podido encontrar ninguna evidencia de acceso no autorizado, robo o uso indebido de los datos de pacientes o empleados.

    Sin embargo, "si bien no podemos cuantificar el impacto final del incidente de ciberseguridad mencionado anteriormente que experimentamos a fines de septiembre de 2020, el incidente podría tener un efecto adverso en nuestros resultados operativos futuros".

    Ryuk ransomware detrás del ataque

    UHS no reveló inicialmente la naturaleza del ataque nacional de septiembre a sus sistemas. declaración de divulgación o hoy relación es Almacenamiento 8K,

    Sin embargo, BleepingComputer descubrió por un empleado de UHS que los archivos estaban siendo renombrados en los sistemas afectados para incluir la extensión .ryk utilizada por Ryuk ransomware.

    Otro empleado le dijo a BleepingComputer que una de las pantallas de los sistemas afectados mostraba una nota de rescate que decía "Shadow of the Universe", una frase similar a la que generalmente se muestra en la parte inferior de las notas de rescate de Ryuk.

    Nota de rescate de Ryuk
    Nota de rescate de Ryuk

    Basado en información compartida por Advanced Intel Vitali Kremez, el ataque a los sistemas UHS probablemente comenzó con un ataque de phishing.

    Intel avanzado Andariel Según Kremez, la plataforma de inteligencia ha detectado tanto los troyanos Emotet como TrickBot que han afectado a UHS a lo largo de 2020 y, más recientemente, en septiembre de 2020.

    Emotet se envía a las computadoras de las víctimas a través de correos electrónicos de phishing que contienen archivos adjuntos maliciosos que distribuyen las cargas útiles del malware.

    En algunos casos, Emotet también instalará TrickBot, que eventualmente abre un shell inverso a los operadores de Ryuk después de recopilar y filtrar datos confidenciales de los dispositivos infectados.

    Los actores de Ryuk implementan manualmente sus cargas útiles de ransomware en dispositivos de red utilizando PowerShell Empire o PSExec después de una fase de reconocimiento después de obtener acceso a la red y credenciales de administrador.

    Desafortunadamente, aunque UHS afirma que no ha encontrado evidencia de ningún robo de datos de pacientes o empleados, con los ataques de ransomware siempre hay una mayor probabilidad de que suceda, lo que aumenta aún más el daño.

    Campaña de ransomware Ryuk en curso dirigida a la atención médica

    En una advertencia conjunta emitida el miércoles, el gobierno de EE. UU. Advirtió sobre ataques activos de ransomware Ryuk contra organizaciones de atención médica, incluidos hospitales y trabajadores de la salud.

    "CISA, FBI y HHS tienen información creíble sobre una creciente e inminente amenaza de ciberdelito para los hospitales y profesionales de la salud de EE. UU.", Decía el aviso.

    En una llamada con las partes interesadas de la atención médica, las agencias gubernamentales de EE. UU. También recomendaron a las organizaciones de atención médica que protejan sus redes mediante la preparación de protocolos de bloqueo de la red, la revisión de los planes de respuesta a incidentes, la aplicación de parches a los servidores Windows y dispositivos de puerta de enlace de borde, limitando el correo electrónico personal y estableciendo estrategias sobre dónde redirigir a los pacientes en caso de un ataque

    Esta semana, el Sky Lakes Medical Center en Oregon y el St. Lawrence Health System en Nueva York se vieron afectados por el ransomware Ryuk, seguidos por el Wyckoff Heights Medical Center en Brooklyn y varios hospitales de la University of Vermont Health Network.

    Charles Carmakal, vicepresidente senior y CTO de Mandiant, le dijo a BleepingComputer a principios de esta semana que un grupo de hackers de Europa del Este rastreado como UNC1878 está detrás de esta locura de ataques y que planean atacar a cientos de otros hospitales.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir