Enzo Biochem ha llegado a un acuerdo en una demanda colectiva consolidada relacionada con su incidente de ransomware de 2023 por 7,5 millones de dólares.
El acuerdo se alcanzó el 13 de enero y se reveló a través de un Formulario 8-K con la Comisión de Bolsa y Valores (SEC) dos días después.
Además de la tarifa de liquidación, el acuerdo exigía que Enzo realizara «ciertas actualizaciones en sus sistemas de protección de datos»; los detalles no se especificaron. Estas medidas, informó a la SEC, ya se habían completado.
La empresa de ciencias biológicas, que desarrolla herramientas de investigación y diagnóstico, también tuvo que desembolsar 4,5 millones de dólares a tres fiscales generales estatales hace apenas cinco meses relacionados con el mismo ataque de abril de 2023.
La fiscal general de Nueva York, Letitia James, dirigió la investigación sobre las prácticas de seguridad de la empresa y encontró varias fallas que llevaron a que los datos de 2,47 millones de personas se vieran comprometidos.
La higiene de las credenciales de Enzo fue un punto de especial preocupación. La investigación de la oficina de James sobre el ataque (PDF) reveló que se utilizaron credenciales genuinas de la empresa para realizar la intrusión inicial, y estas credenciales se compartieron entre cinco empleados.
Una de las credenciales no se había actualizado en diez años. Enzo tampoco requirió autenticación multifactor (MFA), sus procesos para cifrar datos en reposo se consideraron ineficaces y se descubrió que había adoptado un enfoque «informal» para evaluar el riesgo de TI, entre otros hallazgos.
«Hacerse análisis de sangre o pruebas médicas no debería dar lugar a que los ciberdelincuentes roben la información personal y de salud de los pacientes», dijo el fiscal general en ese momento.
«Las empresas de atención médica como Enzo, que no priorizan la seguridad de los datos, exponen a los pacientes a un grave riesgo de fraude y robo de identidad. La seguridad de los datos es parte de la seguridad del paciente, y mi oficina seguirá responsabilizando a las empresas cuando no protejan a los neoyorquinos».
La empresa con sede en Nueva York respondió al ataque en 2023 realizando grandes inversiones en seguridad y financiando una amplia renovación de 15 puntos de su función cibernética.
Se ejecutó una revisión de autenticación, introduciendo Ministerio de Asuntos Exteriores y más estricto contraseña requisitos de complejidad. También pagó por un detección y respuesta de endpoints (EDR) y un centro de operaciones de seguridad (SOC) gestionado 24 horas al día, 7 días a la semana, entre otras cosas. Adoptando el legendario «Confianza cero» También ayudó a resolver el caso.
El ataque nunca fue reivindicado por un grupo de ransomware conocido. El informe de James confirmó que los sistemas de Enzo estaban encriptados, pero no aclaró si se pagó un rescate.
El informe reveló además que los atacantes extrajeron aproximadamente 1,4 TB de datos de Enzo. Los tipos de datos potencialmente accedidos o robados incluían nombres, fechas de nacimiento, domicilios, números de teléfono, información de diagnóstico y tratamiento médico, información de pruebas clínicas y números de seguridad social.
La intrusión comenzó el 4 de abril. El firewall de la compañía bloqueó numerosas conexiones maliciosas pero no notificó al personal porque no había sistemas dedicados a monitorear o alertar a las personas relevantes sobre actividad sospechosa en la red.
Enzo tardó dos días en darse cuenta de que había sido comprometido, solo después de que los atacantes obtuvieron los datos de los pacientes y desplegaron una carga útil de cifrado, según el informe de James.
El precio de las acciones de la empresa se desplomó tras el ataque y ahora cotiza a 0,70 dólares por acción, su nivel más bajo desde 1991.
Enzo Biochem fue una de las muchas empresas médicas que sufrieron ataques cibernéticos de robo de datos casi al mismo tiempo. Empresas incluidas AduanasIndependent Living Systems, NextGen Healthcare y PharMerica experimentaron eventos similares durante la primavera de 2023 y todos tienen su sede en el hemisferio norte, aunque no hay ninguna sugerencia de que los ataques estuvieran relacionados. ®
