Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Un centro de salud deberá pagar una multa de más de 400.000 euros por un ataque de ransomware


El Centro de Salud Refuah en Spring Valley, Nueva York, financiado con fondos federales, ha sido multado por el fiscal general de dicho estado y deberá pagar 450.000 dólares (unos 411.000 euros). En principio tendrá que desembolsar 350.000 dólares y puede que se libre de un pago adicional de 100.000 dólares, siempre que el centro refuerce su programa de ciberseguridad.

 


 

 

Además, el ambulatorio se ha comprometido a gastar 1,2 millones de dólares (más o menos 1,1 millones de euros) entre los ejercicios fiscales 2024 y 2028 para desarrollar y mantener un programa mejorado de seguridad de la información. 

También estará obligado a designar a un empleado calificado para que se responsabilice de implementar, mantener y monitorizar dicho programa. 
Este acuerdo económico pone fin a una investigación referente a un ataque de ransomware que ocurrió en mayo de 2021, según se hace eco Bank Info Security. 

 

 

Los atacantes fueron capaces de acceder a un sistema usado para ver vídeos tomados por las cámaras de seguridad. Este acceso estaba protegido por un código estático de cuatro dígitos. 

Gracias al control de esta herramienta accedieron de forma remota a la red de Refuah utilizando credenciales de inicio de sesión para una cuenta administrativa que fueron robadas durante el ataque. El documento del acuerdo, recoge que las claves "no habían sido modificadas durante al menos 11 años".

Carencias y deficiencias

Los reguladores estatales iniciaron una investigación sobre la infracción, que incluyó cifrado, exfiltración y extorsión y que fue perpetrado por el grupo de ciberdelincuentes Lorenz. 

Los piratas informáticos sustrajeron archivos pertenecientes a entre 195.000 y 234.000 pacientes.

Los reguladores hallaron que se habían dado múltiples violaciones de las de las reglas de privacidad, seguridad y notificación de infracciones de HIPAA, según los documentos del acuerdo. 

Los fallos incluyeron no poder desmantelar cuentas de usuarios inactivos, falta de autenticación multifactor y falta de registro para revisar la actividad de los usuarios. Además, el centro no había realizado una evaluación de riesgos desde marzo de 2017. Así, cuando se produjo el ataque varios de estos problemas seguían coleando. 

Para más inri, el ambulatorio tampoco había llevado a cabo una investigación adecuada para identificar a los pacientes cuya información había sido comprometida en la violación de datos. 

Refuah, un centro de salud calificado a nivel federal, opera tres centros de atención médica en Nueva York y cinco ambulancias.

Lorenz Ransomware

 

Este grupo Lorenz también es conocido por vender los datos robados obtenidos antes del cifrado a otros actores para coaccionar a sus víctimas a pagar el rescate, así como por vender el acceso a las redes internas de sus víctimas junto con los datos robados.

Fuentes: 

https://www.bankinfosecurity.com/nys-clinic-must-pay-450k-fine-spend-12m-on-security-a-24058

https://www.escudodigital.com/ciberseguridad/centro-salud-multa-ataque-ransomware_57694_102.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.