El proveedor de software del NHS Advanced ha confirmado que sufrió un ransomware (se abre en una pestaña nueva) ataque que resultó en el robo de datos confidenciales de los clientes.
La compañía dice que un actor de amenazas desconocido usó «credenciales legítimas de terceros» que les dieron la capacidad de establecer una sesión de escritorio remoto (RDP) en el servidor Staffplan Citrix.
A partir de ahí, los atacantes se movían lateralmente por toda la red, aumentando los privilegios cuando era necesario para mapear toda la red, identificar puntos finales cruciales y datos fundamentales.
Eliminando a los atacantes
Dos días después, después de filtrar suficientes archivos confidenciales, el grupo implementó LockBit 3.0, una variante de ransomware potente y conocida que encriptaba todos los datos en la red.
Advanced dijo que el grupo estaba motivado financieramente, pero no detalló cuánto dinero exigió por la clave de descifrado y la devolución de los datos, ni si pagó o no.
Tan pronto como Advanced se dio cuenta de que estaba siendo atacado, desconectó todos sus sistemas de Internet.
Si bien eso detuvo una mayor escalada del ataque, también impidió temporalmente que los clientes y usuarios accedieran a los sistemas. Como resultado, la empresa procedió a restablecer la red en un “entorno nuevo, separado y seguro”.
En total, la compañía afirma que a 16 clientes les han robado su información confidencial. No dijo exactamente qué incluían estos datos, pero sí dijo que las víctimas fueron notificadas de manera oportuna y que logró restaurar toda la información robada.
Al describir más detalladamente el proceso de recuperación, Advanced dijo que pudo avanzar relativamente rápido, pero que aún necesitaba satisfacer los procesos gubernamentales.
“Aunque estábamos equipados y pudimos reconstruir por completo ciertos productos de salud y cuidado para el lunes siguiente al incidente, teníamos que cumplir con un proceso de garantía establecido por nuestros socios en NCSC, NHS y NHS Digital”.
Dijo que este proceso resultó ser lento y engorroso.
“A medida que aprendimos más sobre este proceso de garantía y lo ajustamos en tiempo real para cumplir con ciertos requisitos, tomó más tiempo de lo esperado, lo que afectó nuestro cronograma de recuperación general. Hemos priorizado la seguridad y la protección durante cada paso de nuestro proceso de recuperación”, se dijo.
“Mientras trabajamos a través de los sistemas de escaneo y limpieza, continuamos en paralelo evaluando y/o desarrollando planes de recuperación para los productos afectados restantes”, concluyó.
- Aquí está nuestro resumen de los mejores programas maliciosos (se abre en una pestaña nueva) alrededor
Vía: Salud Digital (se abre en una pestaña nueva)