Microsoft está alertando a los hospitales vulnerables a los ataques de ransomware
Microsoft ha comenzado a enviar notificaciones específicas a docenas de hospitales sobre dispositivos VPN vulnerables y puertas de enlace ubicadas en su red.
Como parte de su seguimiento de varios grupos detrás de los ataques de ransomware operados por humanos , Microsoft ha visto una de las operaciones conocidas como REvil (Sodinokibi) dirigidas a vulnerabilidades en dispositivos VPN y dispositivos de puerta de enlace para violar una red.
Se sabe que los dispositivos Pulse Pulse están dirigidos por actores de amenazas , y se cree que esta vulnerabilidad está detrás del ataque de ransomware Travelex de REvil.
Otros atacantes como DoppelPaymer y Ragnarok Ransomware también fueron vistos en el pasado utilizando la vulnerabilidad Citrix ADC (NetScaler) CVE-2019-1978 para comprometer una red.
Una vez que los actores de ransomware rompen una red con estas vulnerabilidades, se extenderán lateralmente a través de la red mientras obtienen credenciales administrativas. Finalmente, implementan su ransomware para encriptar todos los datos en la red.
Con las organizaciones de atención médica como los hospitales abrumados durante la pandemia de Coronavirus, Microsoft quiere ayudar a estas organizaciones a mantenerse a la vanguardia de los actores de la amenaza mediante el envío de notificaciones específicas sobre dispositivos vulnerables en su red.
"A través de la vasta red de fuentes de inteligencia de amenazas de Microsoft, identificamos varias docenas de hospitales con puerta de enlace vulnerable y dispositivos VPN en su infraestructura. Para ayudar a estos hospitales, muchos de ellos ya inundados de pacientes, enviamos una notificación dirigida de primera clase. con información importante sobre las vulnerabilidades, cómo los atacantes pueden aprovecharlas y una recomendación sólida para aplicar actualizaciones de seguridad que los protejan de los ataques de estos ataques en particular y otros similares ", declaró Microsoft hoy en una nueva publicación de blog .
Al enviar estas alertas específicas a los hospitales, las organizaciones de atención médica pueden instalar de manera proactiva actualizaciones de seguridad en los dispositivos públicos para evitar que los actores de amenazas las aprovechen.
Para protegerse contra las operaciones de ransomware como REvil, el equipo de investigación de Microsoft Defender Advanced Threat Protection (ATP) recomienda implementar las siguientes medidas de mitigación contra los ataques de ransomware operados por humanos:
• Fortalezca los activos de Internet:
- Aplique las últimas actualizaciones de seguridad
- Use la gestión de amenazas y vulnerabilidades
- Realice auditorías regulares y elimine las credenciales privilegiadas
• Investigue y remedie minuciosamente las alertas:
- Priorice y trate las infecciones de malware de productos básicos como un posible compromiso total
• Incluya a los profesionales de TI en las discusiones de seguridad:
- Garantice la colaboración entre SecOps, SecAdmins y administradores de TI para configurar servidores y otros puntos finales de forma segura
• Construya higiene de credenciales:
- Use MFA o NLA, y use contraseñas de administrador locales fuertes, aleatorias, justo a tiempo
- Aplique el principio de privilegio mínimo
• Monitorear actividades adversas:
- Buscar intentos de fuerza bruta
- Monitorear la limpieza de registros de eventos
- Analizar eventos de inicio de sesión
• Fortalecer la infraestructura:
- Usar el Firewall de Windows Defender
- Habilitar la protección contra manipulaciones
- Habilitar la protección entregada en la nube
- Activar las reglas de reducción de superficie de ataque y AMSI para Office VBA
Fuente: BleepingComputer