Los temores de violación de datos de LabCorp eran infundados. Fue un ataque de ransomware.
Laboratory Corporation of America Holdings o LabCorp tiene 60 mil empleados en todo el mundo, ayuda con ensayos clínicos en cerca de 100 países y procesa alrededor de 2.5 millones de pruebas de laboratorio cada semana. Esto significa que LabCorp maneja y almacena datos potencialmente muy sensibles relacionados con la salud de millones de personas. Como puede imaginar, cuando la compañía anunció que había detectado 'actividad sospechosa' en su red de TI, las reacciones no fueron exactamente positivas. La gente estaba realmente asustada por su información de salud. Resulta que no tenían mucho de qué preocuparse.
La noticia salió el lunes cuando la compañía presentó una solicitud de 8-K ante la Comisión de Bolsa y Valores. El documento no dice mucho, aparte del hecho de que durante el fin de semana, algunas de las computadoras y servidores de LabCorp estaban actuando de una manera inusual. Aunque la presentación sugiere que el equipo de TI de la compañía no tenía idea de lo que estaban tratando en ese momento, muchos de los sistemas se cerraron para evitar daños reales.
Ayer, CSO informó más detalles sobre el ataque. Aparentemente, a la medianoche del 13 de julio, los piratas informáticos comenzaron sus intentos de infiltrarse en la red de LabCorp forzando con fuerza bruta las credenciales de inicio de sesión del protocolo de escritorio remoto (RDP). A las 6 de la tarde del 14 de julio, entraron y dejaron caer su carga útil, una variedad de ransomware conocida como SamSam.
Las buenas noticias
Obviamente, un ciberataque nunca puede ser una buena noticia, especialmente para la organización a la que se dirige, pero en este caso, estamos bastante seguros de que tanto los empleados como los pacientes de LabCorp dieron un suspiro colectivo de alivio cuando supieron que la red del laboratorio había sido golpeada. por ransomware.
La alternativa era una pieza de malware que roba y expone los datos de los pacientes que podrían haber tenido consecuencias devastadoras. Después de revisar cuidadosamente la evidencia, LabCorp declara con confianza que no se ha filtrado ninguna información. Entonces, definitivamente puedes decir que podría haber sido mucho peor.
Al enterarse del ataque, el equipo de TI de LabCorp inmediatamente comenzó a desconectar los sistemas en un intento de limitar el daño. En cincuenta minutos, la infección estaba contenida, pero para ese momento, SamSam ya había logrado cifrar los datos en 7,000 sistemas y 1,900 servidores.
A pesar del daño sustancial que causaron, los piratas informáticos se fueron con las manos vacías. Según anuncios oficiales, el ransomware fue "eliminado", lo que sugiere que LabCorp tenía copias de seguridad en funcionamiento desde donde restauraron la información cifrada. La compañía dice que la mayoría de las operaciones de prueba se han reanudado y que todo volverá a la normalidad en unos pocos días.
En general, la reacción de LabCorp al ataque merece un cierto nivel de elogio. La compañía reaccionó rápidamente, y el ransomware fue contenido antes de que pudiera romper completamente la infraestructura de la red del laboratorio. Después de eso, su gestión responsable de los datos confidenciales ayudó a garantizar que no se perderá ninguna información.
La noticia no tan buena
LabCorp aún no ha identificado la cepa exacta del ransomware, pero CSO y sus fuentes parecen estar bastante seguros de que es SamSam porque esta familia en particular ha afectado a más de unas pocas organizaciones de atención médica durante el último año. Además, aunque no es su único vector de infección, la pandilla SamSam a menudo ataca a las víctimas con credenciales RDP de fuerza bruta.
Una vez más, los detalles aún no están claros, pero la evidencia sugiere que LabCorp no tenía autenticación de dos factores que protegiera sus cuentas RDP. En otras palabras, había evidencia de que LabCorp es un objetivo potencial y, sin embargo, si bien respondió bien al ataque, no pudo dar el paso que podría haberlo detenido.
Los expertos a menudo dicen que un hacker necesita tener éxito solo una vez para lanzar un ataque exitoso. Sin embargo, los usuarios y las organizaciones del otro extremo deben tener éxito todo el tiempo para evitar un incidente de seguridad. El ataque de ransomware en LabCorp demuestra cuán correcta es esta afirmación.
