Inicialmente se pensaba que sólo los equipos Windows eran vulnerables, pero no debería sorprendernos que los equipos médicos y los sistemas de control industriales sean víctimas del ransomware WannaCry.
En los últimos días, el Equipo de respuesta a ciberemergencias en los sistemas de control industrial (ICS-CERT) del Departamento de Seguridad Nacional, junto a varios fabricantes de equipos médicos, ha comenzado a advertir a los consumidores sobre el riesgo que representan los programas maliciosos y las mitigaciones que deben implementarse en hospitales y fábricas que emplean software de versiones vulnerables de Windows con SMBv1 instalado.
El ciberataque de WannaCry, lanzado este viernes, explota EternalBlue, un ataque de ejecución remota de códigos que apunta a una vulnerabilidad SMBv1 parchada en Windows. Un parche para esta vulnerabilidad, filtrado en abril por ShadowBrokers, fue publicado por Microsoft en marzo, pero aparentemente muchos usuarios no lo habían aplicado, incluyendo administradores informáticos de hospitales.
El martes, Siemens comenzó a advertir a sus usuarios que algunos de sus productos Healthineers, una línea de equipos instalados en hospitales, fueron afectados por las vulnerabilidades SMBv1 en el ciberataque de WannaCry.
En particular, todas las versiones de Multi-Modality Workplace (.PDF) (MMWP) de la compañía, una plataforma de imágenes para los departamentos de radiología de hospitales, y todas las versiones de MAGNETOM MRI Systems (.PDF) de la compañía, unos tubos inmensos para resonancia magnética utilizados para lograr imágenes en hospitales, son vulnerables, dijo Siemens.
El martes, la compañía publicó un boletín informativo y consejos para ambos productos.
En este comunicado, Siemens remarcó que la vulnerabilidad de estos dispositivos depende en gran medida de la manera en que se configuran e instalan, pero que sigue preparando las respectivas actualizaciones. Al mismo tiempo, la compañía solicitaba a sus clientes que aíslen los productos que utilizan los puertos TCP 139, 445 y 3389.
En los últimos días, varios investigadores han observado que las campañas de WannaCry, además de las campañas de minería de moneda encriptada, buscan en Internet blancos que tengan expuesto el puerto 445, una práctica que Microsoft desaprueba y desalienta. Sin embargo, el miércoles Rapid7 dijo que vio más de 800 000 dispositivos Windows con SMB expuesto en el puerto 445.
Además de deshabilitar el puerto, Siemens también pidió a sus usuarios que aíslen los productos afectados dentro de su respectivo segmento de la red y que se aseguren de contar con copias de respaldo y con procedimientos de restauración del sistema.
Las recomendaciones de la compañía se hacen eco de las preocupaciones expresadas por los expertos múltiples veces esta semana, como el llamado a parchar las máquinas vulnerables y asegurarse de contar con respaldos fuera de línea.
Siemens no es la única compañía de dispositivos médicos que planea aplicar parches para mitigar otras posibles infecciones de WannaCry.
HITRUST, la Alianza para la confiabilidad de información de salud, informó el lunes que los dispositivos médicos fabricados por el conglomerado alemán Bayer también fueron afectados por WannaCry el fin de semana. El informe de HITRUST sugiere que los dispositivos de Siemens, como los sucesivos parches lo confirmarían, también quedaron comprometidos.
La compañía está preparando un parche para los dispositivos con sistema Windows, especialmente los sistemas de radiología, que fueron atacados por el ransomware.
El miércoles, un portavoz de la compañía dijo a Threatpost que estaban trabajando para instalar el parche pronto, pero que no tenían un ETA.
Si bien Siemens no confirmó el informe de HITRUST sobre que sus dispositivos quedaron comprometidos por WannaCry, sí afirmó que estaban trabajando junto a sus clientes y el departamento digital del Servicio nacional de salud (NHS DIGITAL) para remediar “el ataque del ransomware”.
“Hemos estado trabajando junto a nuestros clientes y NHS Digital desde el momento en que supimos sobre el ataque del ransomware el viernes por la tarde. Se trata de una situación emergente y nuestra atención se concentra en restaurar el funcionamiento del sistema a la brevedad posible, pero sin comprometer la calidad. Los ingenieros han estado trabajando en los sitios afectados y permanecerán en contacto con nuestros clientes hasta que los sistemas se restauren”, añadió la compañía.
Se responsabilizó a WannaCry por interrumpir los servicios en decenas de organizaciones del sistema británico de salud cuando comenzó sus ataques el viernes.
Esta semana, el fabricante de equipos médicos Becton, Dickinson and Company (BD) también advirtió sobre WannaCry, pero de una forma más genérica. La compañía no especificó cuáles, si alguno, de sus productos quedaron afectados, pero indicó que tenían el sistema Windows. En un comunicado sobre la seguridad de sus productos, la compañía recomendaba a sus usuarios aplicar el parche CVE-2017-0290 de Microsoft y que se aseguraran de que sus equipos con Windows se sometieran a controles de mitigación para SMB.
Esta semana, Rockwell Automation and ABB, una firma suiza de robótica y automatización, también advirtió sobre este programa malicioso.
Si bien ninguna de estas compañías cree que su software esté directamente implicado, ambas señalaron que los sistemas de sus productos con Windows posiblemente estén afectados.
Como los otros fabricantes, ABB instó a sus clientes (.PDF) a realizar copias de respaldo de sus sistemas, a instalar MS17-010, y a bloquear o restringir Windows File Sharing a través del protocolo SMB.
Rockwell, que provee componentes de control industrial, como monitores con paneles planos, tubos de rayos catódicos y computadores a fábricas, recomendó a sus usuarios que instalen MS17-010 Security Bulletin de Microsoft. Antes de implementar el parche de Microsoft, la compañía insta a sus clientes a verificarlo en un sistema alterno independiente para asegurarse de que no haya efectos colaterales indeseados.
ICS-CERT, que publicó una alerta el lunes y la actualizó el martes, hace seguimiento de los fabricantes de controles industriales como Siemens y BD que han publicado notificaciones sobre WannaCry. El equipo urge a los proveedores de equipos médicos a que sigan las indicaciones de la FDA sobre la ciberseguridad de equipos médicos, que indican que las compañías no necesitan la revisión FDA para realizar cambios en sus equipos médicos si estos son para fortalecer la ciberseguridad.
El domingo, la Comisión de acreditación de la red de salud electrónica (EHNAC), una organización autónoma de desarrollo de normas que supervisa las redes electrónicas de salud, se apresuró a advertir sobre WannaCry. Esta comisión indicó que estaba monitoreando los controles de privacidad “dentro de criterios de acreditación para mitigar la amenaza de similares fugas de datos y para asegurar la Información de salud protegida a cargo de los actores del sector de salud”.
“Aplaudimos los esfuerzos de las agencias de seguridad que se encuentran trabajando para contener y detener este ataque e instamos a todos a revisar sus procedimientos de privacidad y seguridad, y asegurarse de que estén adecuadamente preparados para mitigar el impacto de futuras amenazas”.
Fuente: Threatpost
Parches pendientes para equipos médicos atacados por WannaCry