Hace una semana, el Hospital Universitario de Brno en la República Checa, que también es un centro de pruebas para el coronavirus, se enfrentó a un ataque de ransomware que paralizó sus computadoras. El hospital siguió los procedimientos estándar y notificó a la Agencia Nacional de Seguridad Informática y Cibernética checa para ayudar con la investigación, y nuestros laboratorios de amenazas ofrecieron ayuda, apoyando al hospital analizando el malware . 

Los hospitales no son necesariamente más susceptibles a los ataques de ransomware. Sin embargo, un ataque puede tener consecuencias severamente perjudiciales para ellos, como la pérdida de registros de pacientes y retrasos o cancelaciones del tratamiento. A medida que los hospitales realizan operaciones críticas y mantienen información vital del paciente, es más probable que otras organizaciones paguen el rescate, lo que los convierte en objetivos atractivos para los actores de amenazas.

Los operadores de ransomware están tratando de parecer altruistas diciendo que no atacarán a los hospitales (sitio en inglés) durante la pandemia, pero no debemos darles crédito ya que solo están tratando de evitar el escrutinio mejorado que las compañías antivirus pondrán en localizar a cualquier persona que ataque servicios de emergencia.

Hay pasos que los hospitales pueden tomar para fortalecer sus defensas, protegiendo sus sistemas, datos de clientes y operaciones.

Mantener el software actualizado

En mayo de 2017, la cepa de ransomware WannaCry atacó a millones de computadoras en todo el mundo, infectando con éxito dispositivos al abusar de una vulnerabilidad para la cual Microsoft había emitido un parche durante dos meses antes del ataque masivo. Millones de personas y empresas no aplicaron la actualización, lo que los habría protegido de una infección WannaCry. Los hospitales también fueron afectados por el ransomware. 

Es absolutamente crucial mantener todo el software y los sistemas operativos actualizados en todo momento. Microsoft emite continuamente parches de emergencia. Más recientemente, Microsoft lanzó un parche de emergencia para una vulnerabilidad crítica de Windows 10 llamada "EternalDarkness", una vulnerabilidad que afecta al protocolo SMB, que se usa para compartir archivos, y es el mismo protocolo explotado para difundir WannaCry hace tres años. Microsoft ha alentado a los usuarios a que tomen medidas de inmediato para aplicar la actualización, y las instituciones de atención médica deben tomar en serio este llamado a la acción.

Limitando el acceso 

Los hospitales deben tratar de suspender todos los servicios disponibles directamente desde internet. Los administradores de TI deben considerar una lista blanca estricta cuando se trata de archivos ejecutables, para que solo las aplicaciones conocidas y confiables puedan ejecutarse en las computadoras del hospital.

Entrenamiento en higiene digital

Al igual que los hospitales capacitan a su personal en lo que respecta a las mejores prácticas de higiene, los empleados también deben recibir capacitación y orientación periódicas sobre higiene digital. El personal del hospital debe estar al tanto de las estafas y tácticas actuales utilizadas por los ciberdelincuentes, ya que el correo electrónico sigue siendo uno de los métodos de entrega más populares para los ciberdelincuentes. Los empleados deben desconfiar de los correos electrónicos de remitentes desconocidos, y especialmente deben evitar hacer clic en los enlaces o descargar cualquier archivo adjunto a menos que estén 100% seguros de que son genuinos. 

Copia de seguridad periódica de todos los datos importantes.

Si se realiza una copia de seguridad de los archivos, el ransomware pierde gran parte de su potencia, ya que los sistemas se pueden restaurar y se pueden recuperar los datos. Los documentos importantes, incluidos los registros de pacientes, deben ser respaldados regularmente, para garantizar que los hospitales siempre tengan una versión limpia de sus archivos, en caso de que se cifren. Es mejor guardar datos tanto en la nube como con almacenamiento físico, por si acaso. Además, tener una sola imagen con todas las configuraciones predeterminadas es útil cuando una PC necesita ser restaurada a un buen estado conocido.

Pasos a seguir en caso de infección por ransomware

Desafortunadamente, las cosas pueden suceder y, por lo tanto, es importante saber qué hacer si sucede lo peor. 

Paso 1: aislar inmediatamente los dispositivos infectados

Lo primero que debe hacer si una PC con Windows es atacada por ransomware es encontrar y desconectar todas las computadoras con cable e inalámbricas infectadas y otros dispositivos en la red. Esto evitará que el ransomware se propague y tome como rehenes a más computadoras, tabletas y / o teléfonos inteligentes.

Durante este procedimiento, se recomienda que las víctimas también desconecten todo lo conectado a los dispositivos en la red, incluido el almacenamiento externo. 

Para completar este paso, las víctimas deben verificar si alguno de estos estaba conectado a la PC infectada. En caso afirmativo, los sistemas también deben ser verificados para mensajes de rescate.

Paso 2: recopilar registros y crear una imagen forense

Una vez que la máquina está aislada y no puede hacer más daño a su entorno de red, se debe hacer una imagen forense del sistema en vivo para el análisis de seguimiento. Esto congelará todos los registros y eventos, y mejorará en gran medida la capacidad del equipo de respuesta para descubrir de dónde vino el ataque y cómo se comportó.

Paso 3: identificar el tipo de ataque de ransomware

A continuación, las víctimas deben averiguar con qué variedad de ransomware se enfrentan. Este conocimiento podría ayudar a encontrar una solución. Para ayudar a determinar el tipo de ransomware en una máquina, recomendamos usar No More Ransom's Crypto Sheriff . Proporcionada por el Centro Europeo de Delitos Cibernéticos de Europol , esta práctica herramienta comprueba los archivos que el atacante ha cifrado y la nota de rescate. Si Crypto Sheriff reconoce el cifrado y tiene una solución, ofrece un enlace para descargar el programa de descifrado necesario. También se puede buscar en los foros de soporte técnico y solución de problemas de PC para encontrar información sobre la variante de ransomware que debe eliminarse. Incluso si es nuevo, puede haber un hilo que ofrece una solución, o un hilo donde los miembros del foro están trabajando para encontrar una solución.

Algunas infecciones de ransomware cambiarán el nombre de los archivos y las extensiones de archivo (por ejemplo: .exe, .docx, .dll) después de cifrarlos. Al visitar foros de tecnología para obtener ayuda, los usuarios pueden buscar los nombres y extensiones de los archivos cifrados; cada uno puede ayudar a guiar las discusiones sobre la tensión del ransomware que debe eliminarse.

Estos foros son fuentes útiles de información adicional:

• Foros de computadora
• Foro de Computer Hope
• Comunidad de Microsoft
• Reddit (r / Ransomware)

Paso 4: eliminar el ransomware

Es importante deshacerse del malware subyacente que retiene a un PC como rehén. Hay opciones de eliminación de ransomware para Windows 10, 8 y 7:

1. Compruebe si el ransomware se ha eliminado a sí mismo (lo que a menudo lo hará)
2. Elimínelo con una solución antivirus, como Avast Antivirus
3. Eliminar el programa malicioso manualmente
4. Reinstale el sistema desde una imagen

Las personas afectadas y los administradores de TI encontrarán pasos más detallados en nuestra guía paso a paso aquí (sitio en inglés).

Si bien todos intentamos protegernos del virus , es importante que sigamos protegiendo nuestros dispositivos de los cibervirus. En Avast, estamos comprometidos a detener estas amenazas y permanecemos atentos a medida que la situación evoluciona.

¡Mantente a salvo!