Ransomware: ¡ya basta de bromas!

Primero, una breve introducción…

El 10 de septiembre, el ransomware DoppelPaymer cifró 30 servidores de un hospital en la ciudad alemana de Dusseldorf, por lo que el número de pacientes se redujo drásticamente. Hace una semana, debido a esta reducción, el hospital no pudo acoger a una paciente que necesitaba una operación urgente y tuvo que enviarla a un hospital de una ciudad vecina, pero, desafortunadamente, la paciente falleció en el trayecto. Se trata del primer caso conocido de una pérdida humana como resultado de un ataque de ransomware.

La situación es muy triste, sobre todo si lo analizas más de cerca: un “accidente” mortal (asumiendo que los atacantes no previeron que sus horribles acciones causaran una muerte); también hubo un claro descuido del seguimiento de las reglas básicas de higiene de la ciberseguridad y una incapacidad por parte de las autoridades encargadas de cumplir la ley para contrarrestar con éxito a los delincuentes organizados involucrados en el ataque.

Los ciberdelincuentes atacaron la red del hospital a través de una vulnerabilidad (también conocida como Shitrix) en los servidores Citrix Netscaler, que fue parcheada en enero. Parece que los administradores del sistema esperaron demasiado para instalar el parche y, mientras tanto, los malos pudieron penetrar en la red e instalar una puerta trasera.

Eso es todo lo que sabemos. A continuación, continuaremos con una conjetura que no se puede confirmar, pero que parece algo probable…

No se puede descartar que, después de algún tiempo, el acceso a la puerta trasera se vendiera a otros ciberdelincuentes de foros clandestinos como “acceso a una puerta trasera en una universidad”. De hecho, el ataque estaba inicialmente dirigido a la Universidad Heinrich Heine, cercana al hospital. Y a ellos ser dirigían los chantajistas en su correo, en el que exigían un rescate a cambio de restaurar los datos que habían cifrado. Cuando los ciberdelincuentes descubrieron que se trataba de un hospital, no una universidad, rápidamente entregaron todas las claves de cifrado (y desaparecieron). Parece que enviar troyanos a los hospitales no resulta tan atractivo para los ciberdelincuentes: se consideran activos demasiado “tóxicos” (como se ha demostrado de la peor manera: con la muerte).

Es probable que el grupo de habla rusa, Evil Corp, esté detrás de DoppelPaymer, un grupo con docenas de ciberdelincuentes de alto perfil (incluso en la red de Garmin). En el 2019, el gobierno de EE. UU. emitió una acusación contra las personas involucradas en Evil Corp y ofreció una recompensa de cinco millones de dólares por ayudar a atraparlos. Lo curioso es que se conocen las identidades de los delincuentes y hasta hace poco habían estado fanfarroneando y mostrando su vida de gánster ostentoso, incluso en las redes sociales.

Fuente

¿Hasta dónde hemos llegado? Todo está mal. En primer lugar, está el hecho de que los hospitales estén sufriendo el ransomware a manos de los ciberdelincuentes, aunque, al menos en este caso mortal de Dusseldorf, parece que dieron con la entidad equivocada (buscaban una universidad, no un hospital). En segundo lugar, está el hecho de que las universidades estén recibiendo ataques (a menudo para robar datos de investigación, incluidos los relacionados con el COVID-19). ¿Y la tercera posición?

¿Cómo puede un hospital ser tan descuidado y no parchear una vulnerabilidad a tiempo, dejando la puerta abierta de par en par para que la escoria cibernética la atraviese y lo contamine todo? ¿Cuántas veces hemos repetido que FreeBSD (de Netscaler) no es ninguna garantía de seguridad y, de hecho, es todo lo contrario: ¿un falso amigo de un experto en ciberseguridad? Este sistema operativo está lejos de ser inmune y presenta debilidades que pueden utilizarse en sofisticados ciberataques. Y luego, por supuesto, está el hecho de que una institución tan crítica como un hospital (también organizaciones de infraestructura), necesita tener protección a varios niveles, donde cada nivel respalde a los demás: si el hospital hubiera contado con una protección de confianza instalada en su red, probablemente lo ciberdelincuentes nunca hubieran logrado llevar a cabo su cometido.

La policía alemana está investigando la sucesión de eventos que condujeron a la muerte de la paciente. Y espero que las autoridades alemanas se dirijan a las de Rusia con una solicitud formal de cooperación para detener a los delincuentes involucrados.

Para que la policía abra una causa penal, se debe presentar al menos una declaración/solicitud formal o el asunto del crimen delito. Este o aquel artículo de prensa o cualquier otro tipo de comentario o anuncio no formales no son reconocidos por el sistema legal. Si no hay una solicitud formal, no hay caso. De lo contrario, los abogados podrían cerrar el caso fácilmente en un abrir y cerrar de ojos. Sin embargo, si existen pruebas reales de un delito cometido, existe un procedimiento de interacción intergubernamental que debe seguirse. Todo es muy formal, sí; pero así es. Los gobiernos deben superar sus prejuicios políticos y actuar juntos. Ya hay gente muriendo por esto y mientras la cooperación internacional siga congelada en gran medida por la geopolítica, los ciberdelincuentes seguirán avanzado contra la humanidad.

P. D. Se ha dado el primer paso para restablecer la cooperación en ciberseguridad. Crucemos los dedos…

Por cierto: ¿Te has percatado de casi nunca hay noticias sobre ataques exitosos de ransomware contra organizaciones rusas? ¿Te has preguntado alguna vez el por qué? Personalmente, no me pienso entretener con las tontas teorías sobre la conspiración de los ciberdelincuentes que trabajan para los servicios secretos rusos, ya que hay muchos grupos de ransomware en todo el mundo. He aquí el por qué, en mi humilde opinión: la mayoría de las empresas rusas cuenta con una ciberprotección de buena calidad y pronto estarán protegidas por un sistema operativo ciberinmune, sí, esa misma protección que se ha prohibido en las instituciones estatales de EE. UU. Imagínate.

P. D. 2: Hace unos días salió a la luz un ataque de ransomware a una de los grupos de hospitales más importantes de Estados Unidos, UHS: sus ordenadores, que prestan servicio a unas 250 instalaciones de todo el país, fueron bloqueados, lo que provocó la cancelación de intervenciones quirúrgicas y el desvío de ambulancias, por no hablar de que el registro de pacientes se tuvo que hacer a mano. Aún no han dado más información…

LEER COMENTARIOS 0
Deja una nota