Medjack 2

El pasado 27 de junio salió a la luz una noticia relacionada con el campo de la medicina y la ciberseguridad. Al pensar en ciberseguridad, lo primero que nos viene a la cabeza son ataques de tipo ransomware a hospitales. Generalmente mediante correos electrónicos con archivos adjuntos, los creadores de este tipo de malware pretenden bloquear la máquina infectada y encriptar sus archivos, quitando así el control de la información y los datos a sus usuarios.

No obstante, no son las únicas amenazas a las que se ven enfrentados los hospitales a día de hoy. Cada vez más, el secuestro de dispositivos médicos se está convirtiendo en un peligro real, como en el caso ‘Medjack 2’.

Medjack (Medical Device Hijack) es la nomenclatura que se ha asignado a un tipo determinado de ataque contra un hospital, más concretamente contra los dispositivos médicos. En mayo de 2015 se tuvo la primera referencia de ataques de este tipo contra tres hospitales. El propósito de Medjack era introducirse en las redes de los hospitales y crear puertas traseras en ellas. ¿Cómo conseguían acceder? A través del eslabón más débil de su cadena de seguridad: los dispositivos médicos. Una vez infectaban los dispositivos con malware, trataban de moverse lateralmente para robar información sensible, tal y como se indica en el informe de la compañía TrapX.

Generalmente, el principal objetivo que se persigue con todo dispositivo médico es la correcta funcionalidad, poniendo especial énfasis en que no haya fallos. Por ello, los fabricantes relegan lo relativo a la seguridad a un segundo plano, siendo ésta nula en la mayoría de los casos.

IMG1

Medjack 2 es la segunda edición de este ataque, con similar propósito pero con una novedad: los atacantes añaden una capa de camuflaje con respecto a Medjack para poder burlar las medidas de seguridad. Esto consiste en la inclusión de nuevas técnicas y herramientas ofensivas en malware antiguo y obsoleto. Los ataques se dirigen a dispositivos médicos desplegados dentro de las redes de los hospitales, creando en ellos puertas traseras y conexiones botnet, permitiendo así el acceso remoto a los atacantes durante un largo periodo de tiempo por su dificultad para ser descubiertas. Para completar el ataque, pueden incluso llegar a rematar con un ransomware sobre el mismo hospital.

En el informe publicado por TrapX, se habla de tres hospitales afectados por APTs (Medjack2) entre 2015 y principios de 2016. Según Greg Enriquez, CEO de TrapX Security, “las pruebas confirman que los atacantes están interesados en atacar organizaciones de la salud con el fin de robar datos y venderlos después en el mercado negro por grandes sumas de dinero”.

La prueba de ello la tenemos con la noticia de que el hacker “thedarkoverlord” pretende vender 655.000 datos de pacientes robados de 3 organizaciones distintas en el mercado TheRealDeal, de la Web Oscura (Dark Web). Además, el hacker reivindicó el hecho de haber vulnerado el protocolo RDP, proporcionando imágenes de los sistemas de las organizaciones como prueba.

Ilustración 1. Interfaz del sistema atacado

Ilustración 1. Interfaz del sistema atacado

Dispositivos afectados por Medjack 2

Los investigadores creen que los atacantes fijan sus objetivos en dispositivos con sistemas operativos antiguos vulnerables, como Windows XP y Windows 7. Entre los dispositivos vulnerables nos encontramos equipamiento de diagnóstico (escáneres PET, CT, máquinas MRI, etc.), equipamiento terapéutico (bombas de infusión, láseres médicos, dispositivos quirúrgicos), equipos de soporte vital (cardiovasculares, pulmonares, ventiladores médicos, máquinas de oxigenación y análisis) y más.

Los investigadores aseguran que es “muy difícil detectar una puerta trasera y un movimiento lateral, ya que requiere de la total cooperación de los fabricantes de dispositivos”. Además, aseguran que “incluso con nuestras mejores prácticas, un dispositivo médico puede volver a ser infectado en pocas horas por el mismo malware propagado a través de otros dispositivos médicos en el hospital”.

Referencias

http://www.networkworld.com/article/3088697/security/medjack-2-old-malware-used-in-new-medical-device-hijacking-attacks-to-breach-hospitals.htmlhttp://www.zdnet.com/article/new-exploit-targets-hospital-devices-places-patients-at-risk/
https://www.deepdotweb.com/2016/06/26/655000-healthcare-records-patients-being-sold/
http://www.outlookseries.com/A0977/Security/3499_MEDJACK_2_Attacks_Hospital_Devices.htm
http://blog.cimcor.com/medjack-healthcare-hack-breach-security