Un paciente muere después de que un ataque de ransomware paralizara los sistemas hospitalarios alemanes

Las autoridades alemanas revelaron la semana pasada que un ataque de ransomware en el Hospital Universitario de Düsseldorf (UKD) provocó una falla en los sistemas de TI, lo que resultó en la muerte de una mujer que tuvo que ser enviada a otro hospital que estaba a más de 30 kilometros de distancia. El incidente marca la primera […]

Las autoridades alemanas revelaron la semana pasada que un ataque de ransomware en el Hospital Universitario de Düsseldorf (UKD) provocó una falla en los sistemas de TI, lo que resultó en la muerte de una mujer que tuvo que ser enviada a otro hospital que estaba a más de 30 kilometros de distancia.

El incidente marca la primera víctima registrada como consecuencia de los ciberataques en instalaciones de atención médica críticas, que se han incrementado en los últimos meses.

Se dice que el ataque, que explotó una vulnerabilidad Citrix ADC  CVE-2019-19781 para paralizar los sistemas hospitalarios el 10 de septiembre, fue “mal dirigido” ya que originalmente estaba destinado a la Universidad Heinrich Heine, según una nota de extorsión dejada por el perpetradores.

El ransomware invadió 30 servidores en el Hospital Universitario de Düsseldorf la semana pasada, bloqueando los sistemas y obligando al hospital a rechazar a los pacientes de emergencia. Como resultado, dijeron las autoridades alemanas, una mujer en una condición potencialmente mortal fue enviada a un hospital a 20 millas de distancia en Wuppertal y murió por demoras en el tratamiento.

No está claro si los ciberdelincuentes tenían la intención de tomar como rehenes los sistemas del Hospital Universitario de Düsseldorf o si el hospital fue un daño colateral en un ataque a una universidad. La nota de rescate estaba dirigida a la Universidad Heinrich Heine, que está afiliada al hospital, no al hospital en sí.

La policía de Düsseldorf se puso en contacto con los atacantes a través de la nota de rescate para explicarles que el hospital, no la universidad, había sido afectado, poniendo en riesgo la salud de los pacientes. Los atacantes detuvieron el ataque y entregaron la clave de cifrado para desbloquear los datos, un desarrollo que también parece ser el primero de su tipo, antes de abandonar la correspondencia.

Vulnerabilidad de ejecución remota de código de Citrix ADC y Gateway (CVE-2019-19781)

Citrix publicó un aviso de seguridad (CVE-2019-19781) para una vulnerabilidad de ejecución remota de código en productos Citrix Application Delivery Controller (ADC) y Citrix Gateway a principios de año. La vulnerabilidad permite que un atacante remoto no autenticado ejecute código arbitrario en el sistema. Una vez explotados, los atacantes remotos podrían obtener acceso a los recursos de la red privada sin requerir autenticación.

La vulnerabilidad afecta a todas las versiones compatibles de los productos Citrix ADC y Citrix Gateway. Como Citrix no reveló muchos detalles sobre la vulnerabilidad, los pasos de mitigación sugieren que el controlador de VPN no desinfecta lo suficiente las entradas proporcionadas por el usuario. El intento de explotación incluiría solicitudes HTTP con ‘/../’ y ‘/ vpns /’ en la URL. La regla de política de respuesta verifica la cadena “/ vpns /” y si el usuario está conectado a SSLVPN, y envía una respuesta 403 como se muestra a continuación.

agregar la política de respuesta ctx267027 “HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS (” / vpns / ”) && (! CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS ()” /../ ”) respondercon403