Infostealers se ceba en los datos del sector sanitario

Sanidad medico documento
©Freepik

Expertos advierten que Infostealers es la principal familia de malware y ransomware utilizada para robar datos valiosos de entidades y pacientes, para luego chantajearlos o pedir un rescate.

Netskope Threat Labs ha publicado hoy su último informe, en el que se observa que Infostealers es la principal familia de malware y ransomware utilizada para atacar al sector sanitario. La sanidad figuró entre los principales sectores afectados durante 2023 por mega brechas, un tipo de ataques que llegaron a superar el millón de registros robados. El informe también examina el incremento sostenido de la adopción de aplicaciones en la nube en el sector sanitario, así como las tendencias del malware en el sector. El informe completo de Netskope Threat Labs puede descargarse a través de este enlace.

Principal objetivo de los ataques de Infostealer

Infostealers es una familia de malware muy utilizada en el sector sanitario. Los atacantes intentan robar datos valiosos de entidades y pacientes para luego chantajearlos o pedir un rescate. El grupo de ransomware Clopp estuvo especialmente activo atacando entidades sanitarias y aseguradoras médicas, aprovechando la vulnerabilidad CVE-2023-34362 MOVEit.

Las descargas de malware aumentaron en 2023, pero se estabilizaron en el segundo semestre. El malware distribuido a través de la nube terminó el año alcanzando el 40% aproximadamente del total de descargas de malware en el sector sanitario, tras un máximo del 50 % en junio, descendiendo ligeramente en la segunda mitad del año.

El sector sanitario se situó algo por debajo de otros sectores, pero el malware distribuido a través de la nube registró un crecimiento interanual considerable, en comparación con el 30% de apenas hace un año. Por otro lado, el sector sanitario fue el que registró el menor porcentaje de malware procedente de la nube en los últimos 12 meses, ocupando el sexto lugar con aproximadamente el 40 % del total, por detrás de las telecomunicaciones, los servicios financieros, la industria manufacturera, el comercio minorista, la tecnología, la Administración nacional y local y la educación.

La nube, un objetivo cada vez más importante para el malware

El estudio de Neskope advierte de que las aplicaciones en la nube son un objetivo para el malware cada vez más importante, ya que ofrecen a los atacantes la posibilidad de eludir los controles de seguridad habituales que utilizan herramientas como las listas de bloqueo de dominios y la supervisión del tráfico web, y estos ataques afectan a las empresas que no aplican principios de confianza cero para inspeccionar rutinariamente el tráfico en la nube. Asimismo, los investigadores han detectado un cambio de tendencia en el malware en Microsoft OneDrive, una de las aplicaciones más utilizadas en el sector sanitario.

Como resultado, las descargas de malware a través de OneDrive fueron 12 puntos porcentuales inferiores en comparación con otras industrias. “La generalización de los ataques de malware iniciados en OneDrive refleja la fusión de las tácticas de los adversarios (el uso abusivo de OneDrive para distribuir malware) y el comportamiento de las víctimas (su probabilidad de hacer clic en los enlaces y descargar el malware), junto con la gran popularidad de OneDrive.

Popularidad de Slack en sanidad

Slack ocupó el segundo lugar en cargas (por detrás de OneDrive) y el quinto en descargas, una cifra significativamente superior a la de otros sectores. Sin embargo, esta tendencia no se corresponde con el número de descargas de malware desde la aplicación, que ni siquiera figura entre las 10 primeras fuentes. Como Slack es una aplicación empresarial robusta, los atacantes tienen que utilizar tácticas y contenidos diferentes para dirigirse a los usuarios que han de aceptar o compartir invitaciones a canales externos. Se trata de un proceso más complejo si se compara con otras apps de mensajería para consumidores, como Whatsapp, que podrían utilizarse en un dispositivo de empresa. En su lugar, los atacantes emplean Slack como servidor de mando y control, ya que su API proporciona un mecanismo flexible para cargar (o extraer) datos.