El grupo ciberdelincuente Lockbit finalmente llevó a cabo sus amenazas y comenzó a difundir, el viernes 23 de septiembre, los datos que los piratas informáticos robaron un mes antes del hospital de Corbeil-Essonnes, durante un ataque informático que había perturbado fuertemente la actividad del establecimiento de salud.
Según los hallazgos de Mundoel grupo, del que se sospecha que algunos de sus miembros operan desde Rusia, puso a disposición en su sitio un archivo de más de 11 gigabytes, alegando que contenía documentos confidenciales del hospital.
¿Qué contienen los datos difundidos?
En un comunicado de prensa publicado el domingo 25 de septiembre, el Centro Hospitalario de South Ile-de-France confirma que los ciberdelincuentes del grupo Lockbit difundieron los datos robados durante el ciberataque. El grupo hospitalario explica que los elementos difundidos se refieren a usuarios, funcionarios y colaboradores del hospital. Más concretamente, la institución cree que «algunos de[s] datos administrativos incluyendo el NIR (número de la seguridad social) y[s] datos de salud como informes de exámenes » se encuentran entre los documentos publicados por el grupo ciberdelincuente. Sin embargo, el comunicado de prensa establece que «Las bases de datos comerciales del Centro Hospitalario South Ile-de-France, que incluyen archivos personalizados de pacientes y archivos relacionados con la gestión de recursos humanos, no se han visto comprometidas».
En el sitio de Lockbit, se ha puesto en línea un archivo comprimido de más de 11 gigabytes y está disponible para descargar, pero los datos son de difícil acceso, los servidores utilizados por el grupo para alojarlos no ofrecen la posibilidad de descargarlos rápidamente. . Por lo tanto, es complicado, por el momento, verificar de forma independiente el contenido exacto de los datos difundidos por los piratas informáticos.
¿Qué pueden hacer los hackers con él?
En algunos casos, los datos robados pueden contener contraseñas de usuario, que luego se pueden usar para piratear su casilla de correo electrónico u otras cuentas, si se ha usado la misma contraseña en varios servicios.
En la mayoría de los casos, las filtraciones de datos personales interesan principalmente a los piratas informáticos que luego desean utilizarlos en campañas de phishing (suplantación de identidad en inglés) y piratear cuentas confidenciales. El peligro para las víctimas de estos robos de datos persiste en los meses y años siguientes: información como el apellido, el nombre, el número de la Seguridad Social, el número de teléfono y la dirección de correo electrónico, por ejemplo, se pueden encontrar compilados en bases de datos más grandes. revendido o distribuido en el mercado negro.
Posteriormente, esta información se utiliza a menudo para refinar las campañas de marketing. suplantación de identidad y hacer que un correo electrónico falso de Medicare, por ejemplo, o de un banco, sea más creíble. Recientemente, las cuentas de Ameli han sido el blanco particular de este tipo de campaña, entre otras cosas porque los piratas informáticos buscan usar este acceso inicial para conectarse a la cuenta de entrenamiento personal de los usuarios de Internet objetivo.
¿Es esta fuga en una escala sin precedentes?
De los 700.000 habitantes a los que el hospital de Corbeil-Essonnes ofrece cobertura sanitaria, actualmente es difícil saber el número exacto de pacientes afectados, pero el establecimiento “está completamente movilizado para informar a los pacientes individualmente, así como a los miembros de su personal involucrados”asegura a la Agence France-Presse del séquito del ministro de Salud, François Braun.
Aún así, esta difusión de datos robados está lejos de ser la primera: desde hace varios años, los ataques que afectan al sector sanitario francés se han multiplicado. En febrero de 2021, por ejemplo, un internauta distribuyó en acceso abierto, en un foro de debate ahora cerrado, un archivo que contenía los datos de 500.000 ciudadanos franceses que se habían examinado en varios laboratorios en los últimos meses. El documento recogía datos personales, números de la Seguridad Social así como información sensible de salud, relacionada con los tratamientos o patologías de las personas identificadas en el expediente. El caso había llevado a la CNIL a sancionar al editor de software Dedalus, declarado culpable de no haber asegurado suficientemente las herramientas ofrecidas a los laboratorios de salud, pero la persona que explotó estas fallas para recuperar los datos no fue arrestada.
En septiembre de 2021, los hospitales de Assistance Publique-Hôpitaux de Paris (AP-HP) informaron una violación de datos que afectaba a aproximadamente 1,4 millones de personas. Esta filtración se remonta a mediados de 2020 y afectaba a personas que se habían realizado una prueba de detección de Covid-19 en las instalaciones de AP-HP. Los equipos del hospital detectaron el problema y notificaron a los usuarios afectados, pero el archivo que contenía los datos no se publicó directamente en línea. Unos días después del anuncio del robo, un sospechoso fue arrestado en relación con este caso y acusado.
¿Qué es la «doble extorsión» que emplean los hackers?
La llamada «doble extorsión», el acto de exfiltrar datos y amenazar con publicarlos para presionar a sus víctimas, un método que ha surgido en los últimos tres años, no fue adoptado de inmediato por todos los grupos de ransomware. Muchos hospitales y establecimientos sanitarios franceses se han visto afectados por ataques de ransomware sin que esto haya dado lugar a la difusión de datos confidenciales.
El grupo Clop, por ejemplo, sospechoso de haber atacado el Hospital Universitario de Rouen en 2019, no parece haber publicado ningún dato en su sitio en ese momento. Lo mismo ocurre con el centro hospitalario de Dax y el hospital de Villefranche-sur-Saône, ambos atacados por un grupo conocido como Ryuk.
Los datos robados del grupo de hospitales del territorio Cœur-Grand-Est, por otro lado, se pusieron a la venta en abril, después de un ataque de ransomware. Vice Society, un grupo ciberdelincuente conocido por practicar la doble extorsión, también es sospechoso de haber atacado un hospital en Ajaccio en marzo y el hospital en Arles en 2021. Los diversos sitios del grupo de piratas informáticos son inaccesibles, El mundo sin embargo, no pudo confirmar si se habían liberado datos robados.