Septiembre 29, 2020
Ransomware: ¡ya basta de bromas!
Primero, una breve introducción…
El 10 de septiembre, el ransomware DoppelPaymer cifró 30 servidores de un hospital en la ciudad alemana de Dusseldorf, por lo que el número de pacientes se redujo drásticamente. Hace una semana, debido a esta reducción, el hospital no pudo acoger a una paciente que necesitaba una operación urgente y tuvo que enviarla a un hospital de una ciudad vecina, pero, desafortunadamente, la paciente falleció en el trayecto. Se trata del primer caso conocido de una pérdida humana como resultado de un ataque de ransomware.
La situación es muy triste, sobre todo si lo analizas más de cerca: un “accidente” mortal (asumiendo que los atacantes no previeron que sus horribles acciones causaran una muerte); también hubo un claro descuido del seguimiento de las reglas básicas de higiene de la ciberseguridad y una incapacidad por parte de las autoridades encargadas de cumplir la ley para contrarrestar con éxito a los delincuentes organizados involucrados en el ataque.
Los ciberdelincuentes atacaron la red del hospital a través de una vulnerabilidad (también conocida como Shitrix) en los servidores Citrix Netscaler, que fue parcheada en enero. Parece que los administradores del sistema esperaron demasiado para instalar el parche y, mientras tanto, los malos pudieron penetrar en la red e instalar una puerta trasera.
Eso es todo lo que sabemos. A continuación, continuaremos con una conjetura que no se puede confirmar, pero que parece algo probable…
No se puede descartar que, después de algún tiempo, el acceso a la puerta trasera se vendiera a otros ciberdelincuentes de foros clandestinos como “acceso a una puerta trasera en una universidad”. De hecho, el ataque estaba inicialmente dirigido a la Universidad Heinrich Heine, cercana al hospital. Y a ellos ser dirigían los chantajistas en su correo, en el que exigían un rescate a cambio de restaurar los datos que habían cifrado. Cuando los ciberdelincuentes descubrieron que se trataba de un hospital, no una universidad, rápidamente entregaron todas las claves de cifrado (y desaparecieron). Parece que enviar troyanos a los hospitales no resulta tan atractivo para los ciberdelincuentes: se consideran activos demasiado “tóxicos” (como se ha demostrado de la peor manera: con la muerte).
Es probable que el grupo de habla rusa, Evil Corp, esté detrás de DoppelPaymer, un grupo con docenas de ciberdelincuentes de alto perfil (incluso en la red de Garmin). En el 2019, el gobierno de EE. UU. emitió una acusación contra las personas involucradas en Evil Corp y ofreció una recompensa de cinco millones de dólares por ayudar a atraparlos. Lo curioso es que se conocen las identidades de los delincuentes y hasta hace poco habían estado fanfarroneando y mostrando su vida de gánster ostentoso, incluso en las redes sociales.
