Luego de que PAMI reconociera un ataque de ransomware en sus servidores hace dos semanas, el grupo de ciberdelincuentes Rhysida enumeró a la entidad como víctima en su sitio web oscuro: piden 25 bitcoinsque equivalen a aproximadamente 734 mil dolares, y dar un poco más de tres días para pagar. De lo contrario, publicará los datos.
Rhysida es un grupo de ciberdelincuentes que opera con ransomware, un tipo de programa malicioso que encripta sistemas y archivos para hacerlos inaccesibles para sus propios administradores y usuarios. Es un técnica de extorsión que ha crecido sustancialmente en los últimos años.
En la gran mayoría de los casos, cuando las víctimas no pagan, los ciberdelincuentes publican los datos para realizar una segunda extorsión: así ocurrió con empresas como OSDE el año pasado y con entidades como la Comisión Nacional de Valores hace apenas unos meses. .
En la vista previa de archivos en la dark web puede ver documentos de personas, que pueden ser de empleados o afiliados al PAMI. Un dato a destacar tiene que ver con la gran cantidad que piden en comparación con otras víctimas enumeradas, a las que se pedían entre 2 y 6 BT (58.653 y 175.960 dólares).
Este ciberataque es coherente con el crecimiento de las detecciones contra entidades sanitarias afectadas por ransomware: según un informe de Check Point Research, está en un promedio de 1,744 ataques por semana a nivel mundial, con un incremento interanual del 30%.
“La sanidad es la segunda más afectada por los ataques de ransomware, con 1 de cada 27 organizaciones experimentando este tipo de ataque, lo que supone un aumento interanual del 16%”, explican.
Cuando se conoció el ataque, el 2 de agosto, la entidad Aseguró que se había «mitigado». Sin embargoel ransomware gestiona un sistema de doble extorsión donde, incluso si la víctima tiene una copia de seguridad de los datos y puede recuperarla, se le amenaza con publicar los datos robados para dañar la reputación del objetivo. Esto podría causar serios problemas para el público.mientras que PAMI maneja información sensible.
«Según la inteligencia recopilada por nuestra plataforma Sheriff, somos conscientes de que se han filtrado casi 650 credenciales PAMI en el último tiempo, lo que podría arrojar algo de luz sobre el posible punto de entrada utilizado por el actor de amenazas», explicó. a Clarín Mauro Eldritch, analista de amenazas en Birmingham Cyber Arms.
Cómo opera Rhysida
Las operaciones de este grupo de ransomware se han conocido recientemente. A diferencia de otros grupos como Lockbit o Black Basta, sus tácticas, técnicas y procedimientos (TTP, como se les conoce en el mundo de la inteligencia de amenazas) poco a poco van saliendo a la luz, mientras Dejan un rastro en su forma de atacar.
Distintas empresas dedicadas a analizar actores de amenazas publicaron informes esta semana: CheckPoint Research, Cisco Talos y Trend Micro, además del Departamento de Salud de los Estados Unidos.
“Las cinco tácticas observadas incluyen el movimiento lateral para lograr el control total de la redacceso a credenciales para lograr acceso como administrador, conexiones a mando y control para estar conectado, evasión de defensa para evitar ser detectado y el impacto, que en este caso incluía el cambio de contraseñas y la cifrado de todos los archivos sin posibilidad de restaurarlos”, explicó alejandro botterGerente de ingeniería de Check Point para el sur de Latinoamérica.
En este sentido, la empresa israelí explica por qué algunos ciberdelincuentes se dirigen a las entidades sanitarias. “La atención médica aparece como un objetivo clave para los ciberdelincuentes, y las razones son claras. La naturaleza esencial de los servicios de salud, combinada con la gran cantidad de datos médicos confidenciales almacenados, crea una superficie de amenaza ideal para los atacantes.
“Además, las instituciones médicas a menudo utilizar una combinación de tecnologías nuevas y antiguas, lo que puede dar lugar a vulnerabilidades no resueltas, lo que unido a la creciente incorporación de dispositivos al entorno sanitario, impulsada por el Internet de las Cosas, ha aumentado aún más la complejidad al introducir dispositivos que muchas veces no son seguros desde su diseño inicial”, continúan.
CheckPoint también detectó una conexión relevante: como sugieren, Rhysida estaría vinculada a Vice Societyun grupo prolífico en sus operaciones que en Argentina es conocido por inyectar ransomware en el Senado Nacional en 2022. Como la Cámara Alta no pagó el rescate, dos meses después publicaron los datos con una enorme cantidad de información sensible.
“Vice Society es un importante actor de ransomware que en Argentina atacó al Senado Nacional ya la Obra Social de Seguros, filtrando completamente su información. En una entrevista que le hicimos al actor de amenazas hace un año, reconoció que esos eran ‘las primeras víctimas argentinas que no pagaron’sugiriendo que había más”, contextualiza el experto.
“Los indicadores del vínculo que establece Check Point son fuertes”, agrega Eldritch, refiriéndose a un libro blanco donde la empresa explica el vínculo.
Vale aclarar que No todos los grupos de ransomware afectan a entidades de salud o infraestructuras críticas. Rhysida, al apuntar a este sector, comenzó a mostrar sus cartas y varios especialistas comenzaron a «perfilar» a este nuevo actor de amenazas.
Lockbit, uno de los grupos ciberdelincuentes más grandes, por ejemplo, prohíbe este tipo de ataques: a principios de este año, un miembro de la pandilla atacó un hospital y fue expulsado de la organización.
Hasta el martes, Rhysida da unos 3 días y medio para publicar la información.
En unos días se sabrá si el PAMI accede a pagar (algo que generalmente descartan las entidades públicas) o ver los datos accesibles para cualquiera que quiera descargarlos de la dark web.
SL