Presuntos hackers chinos atacaron recientemente varios hospitales israelíes
Un anuncio conjunto del Ministerio de Salud y la Dirección Nacional Cibernética de Israel reportó un aumento en los ataques de ransomware durante el fin de semana pasado. Los mencionados ataques fueron dirigidos a los sistemas de nueve institutos de salud en el país.
En el anuncio conjunto, el gobierno israelí afirma que los intentos no resultaron en daños a los hospitales y las organizaciones médicas. Esto fue gracias a la coordinación a nivel nacional y la respuesta rápida y decisiva de los equipos de informática locales.
Las dos autoridades habían llevado a cabo numerosas actividades defensivas en el sector de la salud para identificar vulnerabilidades. Las vulnerabilidades fueron aseguradas antes de que llegara el fin de semana, principalmente en respuesta a un ataque del miércoles contra el Centro Médico Hillel Yaffe.
Sin embargo, al parecer, estos esfuerzos no fueron suficientes para asegurar los puntos finales expuestos. Por lo tanto, algunas organizaciones de atención médica aún sufrieron infracciones durante el fin de semana.
Las investigaciones apuntan a hackers chinos
Según informes de los medios locales, el ataque se ha atribuido a un grupo de actores chinos que utilizan la cepa de ransomware ‘DeepBlueMagic’. DeepBlueMagic apareció por primera vez en el entorno en agosto de este año.
Se sabe que DeepBlueMagin deshabilita las soluciones de seguridad que generalmente detectan y bloquean los intentos de cifrado de archivos. Esto les permite ataques exitosos.
Al probar los indicadores de compromisos compartidos por las autoridades, determinamos que los actores de amenazas están utilizando la herramienta de cifrado de disco duro ‘BestCrypt’ para cifrar dispositivos.
La Dirección Cibernética Nacional de Israel publicó indicadores de compromiso (IOC) en forma de archivos hash que se han visto en ataques relacionados.
La agencia sugiere que las organizaciones israelíes realicen los siguientes pasos:
- Revisar los IOCs en el archivo CSV y verificar si se han observado en su entorno.
- Realizar un análisis activo de todos los sistemas e incluir los archivos hash en las soluciones de protección de la organización.
- Asegurarse de que todos los servidores de correo electrónico y VPN estén actualizados a la última versión. Esto para resolver cualquier vulnerabilidad que los actores de amenazas puedan usar para obtener acceso a las redes internas.
- Si los servidores no están actualizados, deben actualizarse y reestablecer las contraseñas de todos los usuarios.
- Incrementar el seguimiento de eventos inusuales en las redes corporativas.
- Informar cualquier infracción o actividad inusual a la Dirección Cibernética Nacional Israelí.
Hille Yaffe sigue luchando
Mientras tanto, el Centro Médico Hillel Yaffe en el norte de Tel Aviv todavía está luchando con la restauración de sus sistemas. Sin embargo, por sexto día, el personal está usando “lápiz y papel” para admitir pacientes y hacer circular los exámenes.
Aunque existe la esperanza de que el Centro Médico Hillel Yaffe vuelva a sus operaciones normales en unos días, existe el temor de que algunos registros médicos sean irrecuperables.
Esto se debe a que, según los informes, los actores del ransomware accedieron al sistema de copias de seguridad. Es decir, los atacantes borraron todas las copias almacenadas allí para casos de emergencia como ataques cibernéticos.
Reuven Eliyahu, el jefe de seguridad cibernética del Ministerio de Salud, confirmó que el ataque de mediados de semana fue llevado a cabo por hackers chinos. Asimismo, el funcionario describió los motivos de los actores como “puramente financieros”.
“Este es probablemente un grupo de hackers chinos que se separó de otro grupo y comenzó a trabajar en agosto”, dijo Eliyahu en una entrevista con Army Radio. “El motivo del ataque fue puramente financiero”.
Sin embargo, una fuente de la industria de la ciberseguridad ha afirmado que la atribución a China es débil y que los ataques pueden haber sido simplemente escaneos de puertos o pruebas en las defensas de las redes.
En cuanto al pago del rescate, el centro Hillel Yaffa es un hospital propiedad del gobierno y, como tal, no negociará con los hackers.