El malware a través de aplicaciones en la nube, principal amenaza en el sector sanitario

La adopción de la nube por parte de las organizaciones del sector sanitario está permitiendo a estas empresas le está facilitando una gestión más eficiente y una mayor productividad. Sin embargo, también está abriendo la puerta a nuevos peligros, con agresores que deciden abusar de una amplia variedad de aplicaciones para distribuir malware.

Pese a que el número medio de aplicaciones en la nube con las que interactúa mensualmente un usuario empresarial sanitario ha descendido de 25 a 22, entre marzo de 2022 y febrero de 2023, la media (21 por usuario al mes) es similar a la de otros sectores, según el Informe sobre el sector sanitario elaborado por Netskope Threat Labs. Esto sitúa a la sanidad al mismo nivel que otros verticales en términos de adopción de la nube.

Al respecto de los ritmos de descarga y carga de datos de aplicaciones en la nube, el informe destaca que, en el primer caso, es similar al de otros sectores: con un 94% de usuarios descargando datos de aplicaciones en la nube cada mes, e inferior en el segundo. De media, el 54% de los usuarios de las organizaciones cargaron datos en aplicaciones en la nube, frente al 64% de otras industrias. Asimismo, el número de usuarios que subieron datos a aplicaciones se ha mantenido estable, con un ligero descenso del 1% entre marzo de 2022 y febrero de 2023.

Distribución de malware en la nube
La popularidad de la distribución de malware en la nube en las organizaciones sanitarias ha aumentado, desde el 38%, en marzo de 2022, al 42%, en febrero de 2023. La media de descargas de malware fue similar a la de otros sectores durante este periodo, un 43% de descargas frente al 45% del resto.

En comparación con otros verticales, el sanitario se encuentra justo en medio y solo los sectores manufacturero y tecnológico presentan un porcentaje inferior de descargas de malware en la nube, con un 38% y 37% respectivamente.

Los atacantes intentan pasar desapercibidos distribuyendo contenido malicioso a través de las aplicaciones en la nube más populares. OneDrive, la más utilizada, con un promedio de 36% de usuarios diarios, fue la más empleada para descargar malware en las organizaciones sanitarias, representando el 17% del total. El servicio gratuito de alojamiento web Weebly es la segunda aplicación más utilizada para las descargas de malware en las empresas sanitarias, con el doble de descargas en comparación con otros sectores. Box ocupa el tercer lugar, con el 12% de las descargas de malware, 6,6 veces más que en otros verticales.

Otras aplicaciones de las que se abusa para descargar programas maliciosos en empresas sanitarias son aplicaciones de almacenamiento en la nube (Amazon S3, Baidu Cloud), sitios de alojamiento de software (GitHub, SourceForge), aplicaciones de colaboración (Sharepoint) y aplicaciones de correo (Google Gmail). DocPlayer, una aplicación en la nube para compartir documentos en línea, también es muy popular entre las empresas sanitarias, con un 4,3% de descargas de media en los últimos doce meses, 2,8 veces más que en otros sectores.

El malware más común detectado por Netskope en la industria sanitaria fueron los troyanos, utilizados habitualmente por los atacantes para conseguir un punto de apoyo inicial y distribuir otros tipos de malware, como infostealers, troyanos de acceso remoto, puertas traseras y ransomware. El segundo tipo de malware más común son los descargadores, que, al igual que los troyanos, también se utilizan para distribuir otros tipos de malware.

El tercer lugar lo ocupan los exploits basados en archivos, que incluyen documentos utilizados para aprovechar muchas vulnerabilidades conocidas, como CVE-2022-30190 (también conocida como Follina) y otras vulnerabilidades que aprovechan versiones sin parches de Adobe Acrobat y Reader y Microsoft Office.

FormBook, Casbaneiro, Ursnif y Remcos se encuentran entre las principales familias de malware dirigidas a la sanidad entre marzo de 2022 y febrero de 2023.

Recomendaciones del especialista
-- Inspeccionar todas las descargas HTTP y HTTPS, incluido todo el tráfico web y en la nube, para evitar que el malware se infiltre en la red. Los clientes de Netskope pueden configurar su Netskope NG-SWG con una política de protección frente a amenazas que se aplique a las descargas de todas las categorías y se aplique a todos los tipos de archivos.

-- Comprobar que los tipos de archivos de alto riesgo, como los ejecutables y los comprimidos, se inspeccionan minuciosamente mediante una combinación de análisis estáticos y dinámicos antes de ser descargados. 

-- Configurar políticas para bloquear descargas de aplicaciones e instancias que no se utilizan en la organización para reducir la superficie de riesgo a solo aquellas aplicaciones e instancias que son necesarias para el negocio.

-- Establecer políticas para bloquear las cargas a aplicaciones e instancias que no se utilizan en su organización para reducir el riesgo de exposición accidental o deliberada de datos por parte de personas con acceso a información privilegiada o el abuso por parte de atacantes.

-- Utilizar un sistema de prevención de intrusiones (IPS) que pueda identificar y bloquear patrones de tráfico malicioso, como el tráfico de comando y control asociado al malware más popular. El bloqueo de este tipo de comunicación puede evitar daños mayores al limitar la capacidad del atacante para realizar acciones adicionales.

Además de los consejos anteriores, la tecnología de Aislamiento Remoto del Navegador (RBI, por sus siglas en inglés) puede proporcionar protección adicional cuando es necesario visitar sitios web que entran en categorías que pueden presentar mayor riesgo, como los Dominios Recién Observados y Recién Registrados.