Gestión de fraude y ciberdelincuencia, banda de ransomware de habla rusa sigue un manual típico; Los servicios críticos aún están interrumpidos Mathew J. Schwartz (euroinfosec) •19 de junio de 2024 El ataque ha interrumpido la atención al paciente en varios hospitales de Londres, incluidos los que forman parte de Guy’s and St Thomas’ NHS Foundation Trust (Imagen: Shutterstock) El ataque de ransomware contra un El proveedor de servicios de patología en Londres que está causando perturbaciones generalizadas a los pacientes continúa siguiendo el manual típico de los delincuentes. Ver también: Ataque de ransomware del NHS: las infraestructuras de la industria de la salud son críticas El 4 de junio, el malware de bloqueo criptográfico afectó a la empresa de patología con sede en Londres Synnovis, que brinda servicios cruciales como análisis de sangre. El hecho de que Synnovis no pueda acceder a numerosos sistemas y archivos ha llevado a la cancelación continua de procedimientos médicos y otras interrupciones para los pacientes de los hospitales y consultorios médicos del sureste de Londres mientras la empresa trabaja para recuperarse (ver: Los hospitales de Londres buscan respaldo de productos biológicos después del ataque del ransomware). . Un miembro del grupo de ransomware Qilin de habla rusa vinculado al ataque le dijo a Bloomberg el martes que exigieron un rescate de 50 millones de dólares a la víctima, pagadero en un plazo de 120 horas. Qilin también afirmó que explotaron una vulnerabilidad de día cero para obtener acceso a los sistemas de Synnovis. Esa afirmación no se pudo verificar (ver: Se cree que el grupo Qilin RaaS está detrás de Synnovis, ataque al NHS). Synnovis es una empresa de patología fundada en 2009 y anteriormente conocida como Viapath, que funciona como una asociación entre Guy’s and St Thomas’ National Health Service Foundation Trust y King’s College Hospitals NHS Trust en Londres, y el proveedor de diagnóstico médico Synlab, con sede en Múnich. Hasta el miércoles por la mañana, el sitio de filtración de datos basado en Tor de Qilin no incluía a la empresa como víctima ni incluía ninguna muestra de datos supuestamente robados. «Synnovis está al tanto de los informes de que un tercero no autorizado se ha atribuido la responsabilidad de este reciente ciberataque», dijo un portavoz a Information Security Media Group. «Nuestra investigación sobre el incidente continúa en curso, incluida la evaluación de la validez de los reclamos de terceros y la naturaleza y alcance de los datos que pueden verse afectados». El experto en ciberseguridad Brian Honan dijo que la demanda de rescate emitida por los extorsionadores es «extraordinaria e inusualmente alta», especialmente en contraste con el ataque de 2021 contra el Ejecutivo del Servicio de Salud de Irlanda, «que derribó toda la infraestructura de TI del servicio de salud de Irlanda», y destacó una demanda de rescate de 21 millones de dólares. «Normalmente, las demandas de ransomware están a un nivel en el que los delincuentes saben que la organización víctima puede pagar», dijo Honan, director ejecutivo de BH Consulting, con sede en Dublín. «Esta demanda de 50 millones de dólares podría ser simplemente un truco publicitario de los delincuentes para aumentar su notoriedad entre futuras víctimas, ya que saben que al exigir esta alta tarifa de extorsión obtendrán mucha atención de los medios, particularmente en los principales medios de comunicación». Como la empresa parece no haber pagado (como los expertos instan a las víctimas a no hacerlo nunca siempre que sea posible), los atacantes han comenzado a hacer lo que normalmente hacen a continuación: nombrar públicamente y avergonzar a la víctima, amenazar con filtrar datos que afirmaron haber robado también durante el ataque. y promocionar su marca (consulte: Grupos de ransomware: confíe en nosotros. Uh, no lo haga). La restauración continúa Synnovis en un comunicado del lunes dijo que continúa restaurando los sistemas, trabajando en estrecha colaboración con el Centro Nacional de Seguridad Cibernética de Gran Bretaña, que es la agencia nacional de respuesta a incidentes, así como con el Equipo de Operaciones Cibernéticas del NHS de Inglaterra. «Nuestro plan para la restauración de los servicios es integral y está en marcha, y se ejecuta en paralelo a la investigación forense dirigida por especialistas externos», dijo el lunes Mark Dollar, director ejecutivo de Synnovis. «Todos los recursos disponibles se centran en este plan». La compañía dijo que su plan de restauración «prioriza tanto la criticidad clínica como la restauración segura de los servicios» y que «en colaboración con nuestros proveedores de plataformas analíticas, ya hemos vuelto a poner en línea nuestros analizadores, lo que representa un progreso significativo en esta etapa del proceso». proceso de recuperación.» Aun así, dos semanas después del ataque, Synnovis dijo que su capacidad para procesar muestras sigue «significativamente reducida» y que ha estado diciendo a los médicos generales que envíen análisis de sangre no urgentes a otros laboratorios como solución temporal, para poder concentrarse mejor en los urgentes que recibe. La compañía dijo que también está en estrecho contacto con la Oficina del Comisionado de Información (el regulador de protección de datos de Gran Bretaña) y que aún se desconoce el alcance de cualquier violación de datos. «Una vez que se conozca más información, informaremos de acuerdo con los requisitos de la Oficina del Comisionado de Información y priorizaremos la notificación de cualquier individuo o socio afectado según sea necesario», dijo. NHS England London dijo que los dos fideicomisos más afectados por el ataque, King’s College Hospital NHS Foundation Trust y Guy’s and St Thomas’ NHS Foundation Trust, pospusieron más de 800 operaciones planificadas y 700 citas ambulatorias sólo en la primera semana después del incidente. «La mayor parte de la actividad planificada ha seguido adelante, y algunas especialidades se han visto más afectadas que otras», dijo. Honan, de BH Consulting, dijo que una lección de resiliencia empresarial para todas las organizaciones debería ser la necesidad de probar cómo les iría en caso de un incidente disruptivo similar y prepararse en consecuencia. “Lo que el ataque Synnovis también resalta es que nuestra planificación de resiliencia debe extenderse más allá de los sistemas bajo nuestro control directo y que debemos analizar nuestras cadenas de suministro y determinar cómo nuestras organizaciones pueden continuar brindando servicios en caso de que un proveedor clave se vea afectado. por un ciberataque u otra interrupción importante”, dijo. ¿Qué es Qilin? Qilin parece funcionar como un grupo de ransomware como servicio, lo que significa que sus operadores proporcionan malware de bloqueo criptográfico a sus afiliados, administran un sitio dedicado a la fuga de datos y posiblemente también manejan las negociaciones con las víctimas. El año pasado, el grupo afirmó que los afiliados se quedan con el 80% de cada rescate por valor de 3 millones de dólares o menos, y el 85% por cualquier rescate por valor superior, dijo la firma de ciberseguridad Group-IB. Muchos grupos, incluido Qilin, utilizan un blog de filtración de datos para presionar a las víctimas para que paguen. Al filtrar datos robados (o al menos afirmar que lo hacen) cuando las víctimas no pagan, intentan utilizarlos como ejemplo para presionar a futuras víctimas a que paguen. El sector de la salud sigue siendo un objetivo recurrente y, a menudo, exitoso para los piratas informáticos que utilizan ransomware. No está claro si los atacantes de Synnovis esperaban que pagaran 50 millones de dólares, o al menos que los utilizaran como punto de partida para negociaciones o posiblemente consiguieran ayuda del gobierno británico. El gobierno británico tiene una política contra el pago de rescates, dijo a la BBC Ciaran Martin, ex director ejecutivo del NCSC, a principios de este mes tras el ataque. Objetivos repetidos En abril, la filial italiana de Synlab fue víctima de un ataque de ransomware que involucraba al ransomware Black Basta. Según se informa, se negó a pagar un rescate y poco después dijo que había restablecido todas las operaciones y que estaba reanudando gradualmente los servicios completos. Posteriormente, Black Basta filtró 1,5 terabytes de datos robados en su sitio de filtración de datos, diciendo que la filtración incluye datos de la empresa, información de los empleados y documentos personales que incluyen fotografías de licencias de conducir, datos de clientes y análisis médicos que incluyen datos de «espermogramas, toxicología y anatomía». e imágenes. Aún no está claro si el mismo grupo de afiliados ejecutó ambos ataques contra las empresas vinculadas a Synlab, utilizando el ransomware Black Basta en primera instancia y Qilin en segunda. Los expertos en ciberseguridad dicen que los afiliados de ransomware a veces trabajan con varios grupos al mismo tiempo y pueden seleccionar qué variedad de ransomware usar contra una víctima determinada, en parte según el entorno al que se dirigen. Los ataques que involucran el ransomware Qilin han ido en aumento desde principios de este año, dijo la firma de ciberseguridad Secureworks. Si bien Qilin parece haber debutado a mediados de 2022, “es probable que el grupo se haya beneficiado de la interrupción de las fuerzas del orden causada por los esquemas de ransomware Alphv/BlackCat y LockBit a principios de 2024, lo que llevó a sus afiliados a pasar a otros programas para continuar con su actividades delictivas”. URL de la publicación original: https://www.databreachtoday.com/uk-pathology-lab-ransomware-attackers-demanded-50-million-a-25559