Los expertos en seguridad advierten que las víctimas de ataques de ransomware DEBEN cambiar todas las contraseñas

Cuando una organización se ve afectada por el ransomware, muchas personas tienden a pensar que lo único de lo que preocuparse es de restaurar los datos lo más rápido posible. A principios de esta semana, sin embargo, el periodista de seguridad cibernética Brian Krebs contó la historia de un ataque de ransomware contra un proveedor de servicios de TI que se conoce con el nombre de Virtual Care Provider Inc. (VCPI), y en el proceso, nos mostró cuántos otros factores entran en juego. jugar cuando los hackers retienen a los datos de otras personas como rehenes.

Probablemente deberíamos comenzar con el hecho de que VCPI brinda servicios a más de 100 hogares de ancianos y centros de salud en 45 estados. No debería ser demasiado difícil ver que la interrupción de la infraestructura de TI de una empresa así podría ser bastante devastadora, pero el alcance real del peligro no se hace evidente hasta que eche un vistazo a cómo se desarrolló el ataque.

Se notó por primera vez en las primeras horas de la mañana del 17 de noviembre cuando los atacantes desataron el ransomware Ryuk en la red de VCPI. Poco después, todos los datos alojados por el proveedor de servicios en la nube se cifraron, y se le dijo a VCPI que puede tener la clave que desbloquea los archivos si paga la asombrosa cantidad de $ 14 millones en bitcoins. Es un rescate bastante grande, pero de nuevo, también lo es la cantidad de datos que se mantuvo como rehén.

El ataque tuvo un impacto horrible en VCPI y sus clientes.

Los clientes de VCPI perdieron el acceso a cualquier cosa, desde correo electrónico, a través de teléfonos y sistemas de facturación, hasta operaciones de nómina. Los registros de pacientes eran inaccesibles, y algunos médicos no pudieron hacer pedidos de medicamentos vitales debido al ataque, lo que significaba que para algunos pacientes, la infección por ransomware podría haber tenido consecuencias fatales. Pocos días después del incidente, Karen Christianson, CEO de VCPI, le dijo a Brian Krebs que su compañía no tiene los recursos para pagar el rescate y que el ataque podría significar el fin del negocio de alojamiento de datos.

Sin embargo, las predicciones iniciales no se materializaron. Aunque los clientes de VCPI experimentaron problemas importantes a raíz del ataque, el proveedor de hosting logró restaurar los datos. Probablemente en un intento por limitar la cantidad de daño de relaciones públicas que sufrió VCPI, Karen Christianson le pidió a Brian Krebs que escribiera un informe de seguimiento sobre cómo se recuperó la compañía. Krebs acordó programar una entrevista, pero poco después de la fecha y hora acordadas, recibió un correo electrónico que llamó su atención de inmediato.

La extensión de la infiltración se hace evidente.

El mensaje pretendía ser de un miembro del grupo de piratería que atacó VCPI, que, al menos para Brian Krebs, no es realmente tan inusual. La solicitud del correo electrónico, sin embargo, fue bastante extraña. El ladrón le pidió a Krebs que le recordara al CEO de VCPI que la oferta de descuento en el rescate estaba a punto de expirar.

El supuesto operador de ransomware se había dado cuenta de alguna manera de la entrevista programada, y Krebs dudaba que este conocimiento se basara en conjeturas. El reportero de seguridad cibernética pensó que, además del ransomware, los piratas informáticos habían utilizado otras herramientas que les habían dado acceso a los sistemas internos y las comunicaciones de VCPI. Krebs llamó a expertos de Hold Security y les pidió que lo ayudaran a comprender mejor el alcance del compromiso.

Muy pronto, la investigación produjo evidencia de que la infraestructura de VCPI se infiltró por primera vez en septiembre de 2018, muy probablemente con el uso de un documento malicioso de Word con instrucciones macro. El documento de Word descargó Emotet, una familia de malware que destaca por sus características de gusano que le permiten moverse lateralmente dentro de una red.

Los piratas informáticos se lanzaron a robar contraseñas antes de implementar el ransomware Ryuk

Después de usar Emotet para establecer un punto de apoyo dentro de la red de VCPI, los delincuentes desplegaron Trickbot, un troyano bancario aclamado por su versatilidad y poderosas capacidades de robo de credenciales. Los expertos de Hold Security incluso lograron interceptar alguna comunicación entre delincuentes, lo que sugiere que durante el ataque VCPI, los nombres de usuario y las contraseñas de hasta 300 sitios web y proveedores de servicios en línea se vieron comprometidos. Estos incluían plataformas de administración de contraseñas, portales bancarios, de facturación y de nómina, administración de recetas y servicios de suministros médicos, cuentas de envío y franqueo, etc. Brian Krebs presentó la evidencia durante la entrevista con Karen Christianson, y aunque VCPI no lo ha admitido oficialmente, el hecho de que la entrevista terminó abruptamente poco después sugiere que el CEO no tenía absolutamente ninguna idea sobre el robo.

Desde hace un tiempo, los operadores de ransomware se han centrado en las organizaciones más que en los usuarios finales. Ya no estamos hablando de guionistas que buscan causar estragos y ganar dinero rápido. Los ataques más recientes son ejecutados por equipos de piratería sofisticados que tienen bastantes herramientas y recursos a su disposición, y a veces, implementar el ransomware es solo una pequeña parte de toda la operación. Las organizaciones como VCPI deben aprender que los piratas informáticos pueden atacar en muchos frentes diferentes, y que los datos de inicio de sesión son a menudo la fruta proverbial de bajo perfil. Es por eso que, como concluyó Brian Krebs en su informe, cambiar las contraseñas debe ser una prioridad en la lista de prioridades para cualquier empresa que haya sufrido un ataque cibernético, independientemente de si el incidente involucró o no ransomware.