Ransomware en Colorado IT Provider afecta a más de 100 consultorios dentales

KrebsOnSecurity ha descubierto que una compañía de Colorado que se especializa en proporcionar servicios de TI a consultorios dentales sufrió un ataque de ransomware que está interrumpiendo las operaciones de más de 100 prácticas de odontología.
Varias fuentes afectadas dicen que su proveedor de TI, Complete Technology Solutions (CTS), con sede en Englewood, Colorado, fue pirateado, lo que permitió instalar una potente variedad de ransomware conocido como "Sodinokibi" o "rEvil" en las computadoras de más de 100 empresas de odontología que confíe en la compañía para una variedad de servicios, que incluyen seguridad de red, respaldo de datos y servicio telefónico de voz sobre IP.

Contactado por teléfono el viernes por la noche, el presidente de CTS, Herb Miner, se negó a responder preguntas sobre el incidente. Cuando se le preguntó sobre los informes de un ataque de ransomware en su empresa, Miner simplemente dijo que no era un buen momento y colgó.
El ataque contra CTS, que aparentemente comenzó el 25 de noviembre y aún afecta a muchos de sus clientes, se produce poco más de dos meses después de que Sodinokibi golpeó al proveedor de TI dental con sede en Wisconsin PerCSoft, una intrusión que cifró archivos para aproximadamente 400 consultorios odontológicos.
Al hablar con varias compañías afectadas y con empresas de seguridad externas llamadas para ayudar a restaurar los sistemas, parece que CTS se negó a pagar una demanda inicial de rescate de $ 700,000 por una clave para desbloquear sistemas infectados en todas las ubicaciones de los clientes.
Thomas Terronez, CEO de Medix Dental, con sede en Iowa, dijo que ha hablado con múltiples prácticas que han sido marginadas por el ataque de ransomware, y que algunos clientes de CTS tenían copias de seguridad utilizables de sus datos disponibles fuera del sitio, mientras que otros han estado trabajando con expertos externos. negociar independientemente y pagar el rescate solo por su práctica.

Muchos de los clientes de CTS comenzaron a publicar sobre el ataque en un grupo privado de Facebook para dentistas, discutiendo los pasos que tomaron o intentaron tomar para recuperar sus archivos.
"Recomendaría que todos se comuniquen con su proveedor de seguros", dijo un dentista con sede en Denver. "CTS me dijo que tendría que pagar el rescate para recuperar mis archivos corruptos".
"Mi experiencia ha sido muy diferente", dijo el odontólogo con sede en Las Vegas. “No hay ayuda de mi seguro. Todavía no funciona, gran pérdida de ingresos, los pacientes están locos, el personal es aún peor ".
Hay un aspecto de este ataque que ha complicado enormemente los esfuerzos de restauración, incluso en prácticas que han negociado el pago de la demanda de rescate: Específicamente, dos fuentes dijeron que varias oficinas de la víctima se quedaron con múltiples notas de rescate y extensiones de archivos cifrados.
Como resultado, la clave de descifrado suministrada por los atacantes solo desbloqueó algunos de los archivos codificados, lo que requiere que las prácticas dentales afectadas gasten más tiempo, esfuerzo y gastos para obtener todas las claves necesarias para restaurar completamente el acceso a sus sistemas.
Gary Salman es CEO de Black Talon Security, una empresa de ciberseguridad con sede en Nueva York que ayudó a varios clientes de CTS en el proceso de recuperación. Salmon dijo que no estaba seguro de por qué los atacantes optaron por operar de esta manera, pero que la explicación más probable es que los atacantes pueden ganar más financieramente al hacerlo.
"Para una red que recuperamos que tenía 50 dispositivos en total, tuvieron que entregar más de 20 notas de rescate para recuperarse completamente", dijo Salman, y agregó que los atacantes pueden estar protegiendo la posibilidad de que las diferentes prácticas afectadas puedan ahorrar dinero al compartiendo la misma clave de descifrado. "Al final, [los atacantes] se irán con mucho más dinero del que hubieran obtenido si [CTS] hubiera pagado los $ 700,000".
Salman dijo que los intrusos parecen haber comprometido una herramienta de administración remota utilizada por CTS para configurar y solucionar problemas de los sistemas en las oficinas dentales del cliente de forma remota, y que esta funcionalidad no requería autenticación adicional por parte del cliente antes de que se pudiera establecer esa conexión.
"Lo que hacen muchas de estas empresas de servicios de TI es volver a tener sesiones activas en cada computadora cliente, para que cuando alguien de un cliente llame al proveedor de TI pueda iniciar sesión y resolver cualquiera de estos problemas", dijo.
"Muchos proveedores de TI utilizarán servicios de administración remota que requieren un [código único] único que el cliente debe escribir antes de que se inicie esa sesión remota", continuó Salman. “Pero otros [proveedores de TI] no quieren hacer eso porque les resulta más difícil administrar estos sistemas después del horario de atención o cuando el usuario está fuera de su sistema. Pero, en última instancia, todo se reduce a la seguridad frente a la facilidad de uso, y muchas de estas pequeñas empresas tienden a moverse hacia la última ”.
Terronez de Medix dijo que la industria dental en general tiene prácticas de seguridad bastante atroces, y que relativamente pocas oficinas están dispuestas a gastar lo que se necesita para defenderse de los atacantes sofisticados. Dijo que es común ver servidores que no se han parcheado durante más de un año, copias de seguridad que no se han ejecutado durante un tiempo, Windows Defender como único punto de detección, redes inalámbricas no segmentadas y todo el personal con acceso de administrador a las computadoras, a veces todas con las mismas o simples contraseñas.
"Muchas de estas [prácticas] se ven obligadas a poner precio a lo que están dispuestas a gastar", dijo Terronez, cuya compañía también ofrece servicios de TI a proveedores dentales. "Lo más importante para estas oficinas es qué tan rápido puede resolver sus problemas, y no necesariamente las cosas de seguridad detrás de escena hasta que realmente importe".
Actualización, 8 de diciembre, 1:21 pm ET: Se agregó una perspectiva adicional y detalles recopilados por Black Talon Security. Además, una versión anterior de esta historia declaró incorrectamente que el ataque de ransomware comenzó la semana pasada. Múltiples fuentes ahora confirman que el ransomware Sodinokibi se implementó inicialmente en las primeras horas de la mañana del lunes 25 de noviembre, y que muchos consultorios dentales víctimas todavía están rechazando a los pacientes como resultado de interrupciones continuas del sistema.

Compartir esta publicacion: