Un solo ataque de ransomware contra un proveedor de servicios administrados (MSP) de Nueva Zelanda interrumpió varias de las operaciones comerciales de sus clientes de la noche a la mañana, la mayoría pertenecientes al sector de la salud. Según el comisionado de privacidad del país, “un incidente de seguridad cibernética que involucra un ataque de ransomware” a fines de noviembre alteró las operaciones diarias del ministerio de salud de Nueva Zelanda cuando impidió que el personal accediera a miles de registros médicos. El Ministerio de Justicia, seis autoridades reguladoras de salud, una aseguradora de salud y un puñado de otras empresas también se encuentran entre los afectados. por daños de segunda mano del ataque Hay formas de recuperarse de un ataque de ransomware, pero el daño a menudo se extiende a los clientes y proveedores de la organización atacada.
El MSP objetivo en este incidente es Mercury IT, una empresa con sede en Australia. Te Whatu Ora, el ministerio de salud de Nueva Zelanda, no pudo acceder al menos a 14 000 registros médicos debido a la interrupción en Mercury IT. Esto incluye 8500 registros de servicios de atención por duelo desde 2015 y 5500 registros de enfermedades hereditarias cardíacas de 2011. Aunque Te Whatu Ora dijo en una declaración pública que sus servicios de atención médica no se vieron afectados por el ataque de ransomware, uno puede ver fácilmente cuán deficiente es la seguridad. la postura podría dañar inadvertidamente a los pacientes médicos.
En el sector privado, la empresa de seguros de salud Accuro informó de una descarga y difusión ilegal de datos corporativos tras el ataque Mercury IT. La mayoría de los datos robados pertenecían a las finanzas de la empresa, según Accuro en un comunicado, que luego se filtró a la dark web. Algunos de los datos robados incluyen información de contacto de miembros y números de póliza, agrega Accuro, pero afirma que no se ha observado un mal uso de los datos personales robados.
Ataques de MSP: matar varios pájaros de un tiro
Este incidente muestra cómo los MSP son objetivos atractivos para los atacantes debido a la gran cantidad de datos de clientes almacenados en los sistemas de una sola empresa. Los ciberdelincuentes solo necesitan explotar las vulnerabilidades de seguridad de un MSP para robar datos confidenciales de docenas de empresas a la vez. Los investigadores están demasiado temprano en su investigación para determinar el objetivo y el motivo del atacante, pero hay una lección clara para los administradores de TI en esta historia: audite la práctica de seguridad de un MSP antes de pagar.
Contraseñas: el eslabón más débil
El Informe de amenazas de MSP de 2021 por ConnectWise reveló que el 60 % de los incidentes de clientes de MSP estaban relacionados con ransomware. Los grupos de ransomware solo necesitan la fruta al alcance de la mano para lanzar un ataque exitoso: contraseñas débiles. Aunque se están desarrollando nuevas formas de autenticación para hacer que las contraseñas queden obsoletas, las contraseñas siguen siendo el método más común y más vulnerable para proteger los datos.
En consecuencia, uno de los métodos más comunes para distribuir ransomware es un ataque de fuerza bruta RDP. Los atacantes lanzan ataques de fuerza bruta mediante el uso de un programa automatizado para probar una larga lista de combinaciones de contraseñas en una cuenta hasta que aciertan, después de muchas pruebas y errores. Una vez dentro, un atacante es libre de robar datos de la organización del objetivo y paralizar sus sistemas con ransomware. Una defensa común contra los ataques de fuerza bruta consiste en establecer un número finito de intentos de inicio de sesión antes de que la cuenta se bloquee temporalmente.
Auditoría de contraseñas de proveedores
Las organizaciones corren el riesgo de heredar las debilidades de seguridad de sus proveedores sin realizar una auditoría de seguridad de antemano. Specops Password Auditor es una herramienta gratuita de auditoría de contraseñas de solo lectura que ayuda a los administradores de TI a tomar decisiones al escanear el directorio activo en busca de debilidades de seguridad relacionadas con contraseñas. Con esta herramienta, los administradores pueden ver la postura de seguridad de cada cuenta para que ninguna cuenta con contraseñas violadas pase desapercibida.
Specops Password Auditor llega a la raíz de las contraseñas débiles al identificar las políticas de contraseñas que permitieron su creación en primer lugar. Con los informes interactivos generados por Specops Password Auditor, los MSP pueden identificar si sus políticas cumplen y cuáles se basan en políticas de contraseñas predeterminadas. También pueden comparar sus políticas de contraseñas con varios estándares de cumplimiento, como NIST, CJIS, NCSC, HITRUST y otros reguladores. Los administradores de TI pueden solicitar a los proveedores y sus MSP que ejecuten este análisis gratuito y luego obtengan un informe de solo lectura. Para una planificación de seguridad precisa, los administradores pueden personalizar el informe de Cumplimiento de la política de contraseñas para mostrar solo los estándares relevantes para su organización.
Descargue Specops Password Auditor gratis aquí.