No obstante, no son las únicas amenazas a las que se ven enfrentados los hospitales a día de hoy. Cada vez más, el secuestro de dispositivos médicos se está convirtiendo en un peligro real, como en el caso "Medjack 2".
Medjack (Medical Device Hijack) es la nomenclatura que se ha asignado a un tipo determinado de ataque contra un hospital, más concretamente contra los dispositivos médicos. En mayo de 2015 se tuvo la primera referencia de ataques de este tipo contra tres hospitales. El propósito de Medjack era introducirse en las redes de los hospitales y crear puertas traseras en ellas. ¿Cómo conseguían acceder? A través del eslabón más débil de su cadena de seguridad: los dispositivos médicos. Una vez infectaban los dispositivos con malware, trataban de moverse lateralmente para robar información sensible, tal y como se indica en el informe de la compañía TrapX [PDF].
Medjack 2 es la segunda edición de este ataque, con similar propósito pero con una novedad: los atacantes añaden una capa de camuflaje con respecto a Medjack para poder burlar las medidas de seguridad. Esto consiste en la inclusión de nuevas técnicas y herramientas ofensivas en malware antiguo y obsoleto. Los ataques se dirigen a dispositivos médicos desplegados dentro de las redes de los hospitales, creando en ellos puertas traseras y conexiones botnet, permitiendo así el acceso remoto a los atacantes durante un largo periodo de tiempo por su dificultad para ser descubiertas. Para completar el ataque, pueden incluso llegar a rematar con un ransomware sobre el mismo hospital.
En el informe publicado por TrapX, se habla de tres hospitales afectados por APTs (Medjack2) entre 2015 y principios de 2016. Según Greg Enriquez, CEO de TrapX Security, "las pruebas confirman que los atacantes están interesados en atacar organizaciones de la salud con el fin de robar datos y venderlos después en el mercado negro por grandes sumas de dinero".
La prueba de ello la tenemos con la noticia de que el hacker "thedarkoverlord" pretende vender 655.000 datos de pacientes robados de 3 organizaciones distintas en el mercado TheRealDeal, de la Web Oscura (Dark Web). Además, el hacker reivindicó el hecho de haber vulnerado el protocolo RDP, proporcionando imágenes de los sistemas de las organizaciones como prueba.
Dispositivos afectados por Medjack 2
Los investigadores creen que los atacantes fijan sus objetivos en dispositivos con sistemas operativos antiguos vulnerables, como Windows XP y Windows 7. Entre los dispositivos vulnerables nos encontramos equipamiento de diagnóstico (escáneres PET, CT, máquinas MRI, etc.), equipamiento terapéutico (bombas de infusión, láseres médicos, dispositivos quirúrgicos), equipos de soporte vital (cardiovasculares, pulmonares, ventiladores médicos, máquinas de oxigenación y análisis) y más.Los investigadores aseguran que es “muy difícil detectar una puerta trasera y un movimiento lateral, ya que requiere de la total cooperación de los fabricantes de dispositivos”. Además, aseguran que "incluso con nuestras mejores prácticas, un dispositivo médico puede volver a ser infectado en pocas horas por el mismo malware propagado a través de otros dispositivos médicos en el hospital".
Fuentes:
- Security Art Works
- http://www.networkworld.com/article/3088697/security/medjack-2-old-malware-used-in-new-medical-device-hijacking-attacks-to-breach-hospitals.htmlhttp://www.zdnet.com/article/new-exploit-targets-hospital-devices-places-patients-at-risk/
- https://www.deepdotweb.com/2016/06/26/655000-healthcare-records-patients-being-sold/
- http://www.outlookseries.com/A0977/Security/3499_MEDJACK_2_Attacks_Hospital_Devices.htm
- http://blog.cimcor.com/medjack-healthcare-hack-breach-security
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!