Sirius Healthcare y Semperis ayudan a la práctica médica a frustrar impactos devastadores y reforzar la postura de seguridad
Cuando una consulta médica privada de especialidades ortopédicas se vio amenazada por un ataque de ransomware sanitario, tomó medidas rápidas para minimizar el impacto.
El complejo y distribuido entorno de Microsoft Active Directory (AD) del consultorio médico incluía más de 130 servidores y 25 controladores de dominio (DC), lo que lo hacía vulnerable a un ataque de ransomware sanitario.
Esta gran clínica de ortopedia, fisioterapia y medicina deportiva contaba con 30 ubicaciones y más de 2.000 empleados. Como es lógico, el entorno AD distribuido de la organización era complejo, con más de 100 servidores y docenas de DC. Este tipo de sistema complejo es un sueño hecho realidad para los actores de amenazas, a quienes les encanta atacar las vulnerabilidades de AD y los errores de configuración en los intentos de ransomware sanitario.
Un correo electrónico de phishing provoca un ataque de ransomware sanitario
En este caso, los atacantes comenzaron con la explotación de debilidades, errores de configuración y puntos ciegos en el entorno AD de la consulta.
- A través de un correo electrónico de phishing, los atacantes consiguieron el acceso inicial al entorno de la clínica.
- A partir de ahí, los atacantes realizaron movimientos laterales, logrando comprometer cuentas privilegiadas.
- Los actores de la amenaza establecieron persistencia para el acceso administrativo a muchos de los sistemas críticos de la organización.
Cuando se descubrió el ataque de ransomware sanitario, los atacantes habían utilizado el movimiento lateral y la escalada de privilegios para comprometer varios AD DC y el bosque y dominio de la empresa. Afortunadamente, el cliente aún no había sufrido ninguna filtración de datos ni impactos operativos significativos.
Teníamos lo que pensábamos que era una implementación de red bien pensada. Hicimos un esfuerzo razonable para reforzar la seguridad, pero siempre hay cosas que se pueden hacer mejor, y eso se volvió en nuestra contra. Fuimos víctimas de un ataque de ransomware. Fue bastante brutal, afectó a la mayoría de nuestros sistemas.
Director Técnico, Práctica de Asistencia Sanitaria Ortopédica
Respuesta, detección y reparación rápidas
La organización recurrió a Sirius Healthcare, un integrador estadounidense de soluciones empresariales basadas en tecnología, para obtener ayuda con la respuesta a incidentes y la reparación. Sirius se puso en contacto con Semperis por nuestra experiencia en la defensa de entornos híbridos y multicloud y en el suministro de soluciones de seguridad AD específicas.
El equipo encontró un DC que no se vio afectado por el ataque, lo que supuso una ayuda para el esfuerzo de recuperación. Otros aspectos clave de la recuperación fueron el cierre inmediato de los accesos de riesgo y un análisis y limpieza exhaustivos de la base de datos. Por ejemplo, Semperis dirigió la práctica a:
- Restablecer su ticket Kerberos (KRBTGT), una confianza a tres bandas que protege las puertas de la red.
- Restablecer dos veces las contraseñas de las cuentas
- Desactivar los servicios de cola de impresión que se ejecutan en todos los centros de distribución
Tomamos muchas medidas inmediatas para luchar contra el ataque, incluida la puesta en cuarentena de los DC afectados, el cierre de los accesos de riesgo y la búsqueda de DC limpios para ayudar a nuestra recuperación.
Director Técnico, Práctica de Asistencia Sanitaria Ortopédica
Defensa frente a futuros ataques de ransomware sanitario
"Una vez recuperados, necesitábamos saber que los delincuentes habían salido de nuestro entorno", explicó el Director de Tecnología del bufete. "En ese momento, no sabíamos si seguíamos en peligro. Teníamos que operar bajo el supuesto de que estaban por todas partes, y teníamos que encontrarlos y erradicarlos."
Sirius y Semperis ayudaron a la empresa a supervisar su entorno para discernir si seguía existiendo algún tipo de reconocimiento por parte de los atacantes. Las herramientas de seguridad de Semperis centradas en AD, incluida la solución de detección y respuesta a amenazas Directory Services Protector (DSP), ayudaron a la organización a obtener una imagen precisa y completa del incidente y de su postura de seguridad AD.
La herramienta DSP cumplió lo prometido, pero creo que el verdadero valor de la incorporación de Semperis fue su personal y su profundo conocimiento de AD y de los ataques basados en AD.
Director Técnico, Práctica de Asistencia Sanitaria Ortopédica
Ahora, DSP escanea y supervisa constantemente el entorno informático de la clínica ortopédica, en busca de errores de configuración de AD que los atacantes puedan aprovechar para obtener acceso. Además, DSP rastrea los cambios realizados en AD y ofrece la posibilidad de revertir automáticamente las actividades maliciosas, ya sean ataques de actores de amenazas o errores inocentes de miembros internos del equipo de TI.
Quizás el mayor valor de DSP es su capacidad para analizar AD de una forma más profunda que las herramientas de seguridad tradicionales. DSP rastrea el flujo de replicación de AD, lo que detecta ataques sofisticados y antes invisibles, como un DC Shadow, un ataque en cadena en la última fase que permite a los atacantes con credenciales privilegiadas registrar controladores de dominio falsos. Con el aumento de los ataques de ransomware sanitario, estas medidas preventivas son vitales.
DSP para supervisar constantemente el entorno híbrido de AD de la clínica ortopédica. Los indicadores de exposición a ransomware sanitario u otros ataques y los cambios sospechosos se marcan para que se les preste atención inmediata.
"Realmente hemos empezado a llevar las cosas al siguiente nivel", dijo el CTO. "Ahora utilizamos DSP para que nos avise de los cambios en las directivas de grupo. [Las políticas de grupo, en parte, controlan lo que los usuarios pueden y no pueden hacer en un sistema informático]. Nos ha permitido implantar procesos [internos] más sólidos de control y mejora de los cambios para evitar actividades informáticas deshonestas que pueden ser convenientes para nosotros, pero que no son seguras."
Acerca de Sirius Healthcare (una empresa de CDW)
En cada paso del continuo de la atención sanitaria, y a lo largo de todo el ciclo de vida de la tecnología, Sirius Healthcare proporciona las mejores soluciones tecnológicas de múltiples proveedores que ayudan a las organizaciones sanitarias a mejorar la calidad de la atención, controlar los costes, mejorar la seguridad, cumplir las normativas y ampliar el alcance a las comunidades. Obtenga más información sobre Sirius Healthcare y llame a Sirius hoy mismo al 800-460-1237 para hablar de sus necesidades.