El grupo ciberdelincuente Lockbit finalmente llevó a cabo sus amenazas y comenzó a difundir, el viernes 23 de septiembre, los datos que los piratas informáticos robaron un mes antes del hospital de Corbeil-Essonnes, durante un ataque informático que había perturbado fuertemente la actividad del establecimiento de salud.

Según los hallazgos de Mundoel grupo, del que se sospecha que algunos de sus miembros operan desde Rusia, puso a disposición en su sitio un archivo de más de 11 gigabytes, alegando que contenía documentos confidenciales del hospital.

Lea el descifrado: Ciberdelincuencia: el hospital, un objetivo privilegiado y polémico para los hackers

¿Qué contienen los datos difundidos?

En un comunicado de prensa publicado el domingo 25 de septiembre, el Centro Hospitalario de South Ile-de-France confirma que los ciberdelincuentes del grupo Lockbit difundieron los datos robados durante el ciberataque. El grupo hospitalario explica que los elementos difundidos se refieren a usuarios, funcionarios y colaboradores del hospital. Más concretamente, la institución cree que «algunos de[s] datos administrativos incluyendo el NIR (número de la seguridad social) y[s] datos de salud como informes de exámenes » se encuentran entre los documentos publicados por el grupo ciberdelincuente. Sin embargo, el comunicado de prensa establece que «Las bases de datos comerciales del Centro Hospitalario South Ile-de-France, que incluyen archivos personalizados de pacientes y archivos relacionados con la gestión de recursos humanos, no se han visto comprometidas».

En el sitio de Lockbit, se ha puesto en línea un archivo comprimido de más de 11 gigabytes y está disponible para descargar, pero los datos son de difícil acceso, los servidores utilizados por el grupo para alojarlos no ofrecen la posibilidad de descargarlos rápidamente. . Por lo tanto, es complicado, por el momento, verificar de forma independiente el contenido exacto de los datos difundidos por los piratas informáticos.

Lea también: nuestro retrato del grupo Lockbit

¿Qué pueden hacer los hackers con él?

En algunos casos, los datos robados pueden contener contraseñas de usuario, que luego se pueden usar para piratear su casilla de correo electrónico u otras cuentas, si se ha usado la misma contraseña en varios servicios.

En la mayoría de los casos, las filtraciones de datos personales interesan principalmente a los piratas informáticos que luego desean utilizarlos en campañas de phishing (suplantación de identidad en inglés) y piratear cuentas confidenciales. El peligro para las víctimas de estos robos de datos persiste en los meses y años siguientes: información como el apellido, el nombre, el número de la Seguridad Social, el número de teléfono y la dirección de correo electrónico, por ejemplo, se pueden encontrar compilados en bases de datos más grandes. revendido o distribuido en el mercado negro.

Posteriormente, esta información se utiliza a menudo para refinar las campañas de marketing. suplantación de identidad y hacer que un correo electrónico falso de Medicare, por ejemplo, o de un banco, sea más creíble. Recientemente, las cuentas de Ameli han sido el blanco particular de este tipo de campaña, entre otras cosas porque los piratas informáticos buscan usar este acceso inicial para conectarse a la cuenta de entrenamiento personal de los usuarios de Internet objetivo.

Leer también Artículo reservado para nuestros suscriptores Ransomware: cómo las autoridades francesas rastrean a los ciberdelincuentes

¿Es esta fuga en una escala sin precedentes?

De los 700.000 habitantes a los que el hospital de Corbeil-Essonnes ofrece cobertura sanitaria, actualmente es difícil saber el número exacto de pacientes afectados, pero el establecimiento “está completamente movilizado para informar a los pacientes individualmente, así como a los miembros de su personal involucrados”asegura a la Agence France-Presse del séquito del ministro de Salud, François Braun.

Aún así, esta difusión de datos robados está lejos de ser la primera: desde hace varios años, los ataques que afectan al sector sanitario francés se han multiplicado. En febrero de 2021, por ejemplo, un internauta distribuyó en acceso abierto, en un foro de debate ahora cerrado, un archivo que contenía los datos de 500.000 ciudadanos franceses que se habían examinado en varios laboratorios en los últimos meses. El documento recogía datos personales, números de la Seguridad Social así como información sensible de salud, relacionada con los tratamientos o patologías de las personas identificadas en el expediente. El caso había llevado a la CNIL a sancionar al editor de software Dedalus, declarado culpable de no haber asegurado suficientemente las herramientas ofrecidas a los laboratorios de salud, pero la persona que explotó estas fallas para recuperar los datos no fue arrestada.

En septiembre de 2021, los hospitales de Assistance Publique-Hôpitaux de Paris (AP-HP) informaron una violación de datos que afectaba a aproximadamente 1,4 millones de personas. Esta filtración se remonta a mediados de 2020 y afectaba a personas que se habían realizado una prueba de detección de Covid-19 en las instalaciones de AP-HP. Los equipos del hospital detectaron el problema y notificaron a los usuarios afectados, pero el archivo que contenía los datos no se publicó directamente en línea. Unos días después del anuncio del robo, un sospechoso fue arrestado en relación con este caso y acusado.

Leer también Cómo los datos de 1,4 millones de residentes de Ile-de-France a los que se les realizó la prueba de Covid-19 terminaron en la naturaleza

¿Qué es la «doble extorsión» que emplean los hackers?

La llamada «doble extorsión», el acto de exfiltrar datos y amenazar con publicarlos para presionar a sus víctimas, un método que ha surgido en los últimos tres años, no fue adoptado de inmediato por todos los grupos de ransomware. Muchos hospitales y establecimientos sanitarios franceses se han visto afectados por ataques de ransomware sin que esto haya dado lugar a la difusión de datos confidenciales.

El grupo Clop, por ejemplo, sospechoso de haber atacado el Hospital Universitario de Rouen en 2019, no parece haber publicado ningún dato en su sitio en ese momento. Lo mismo ocurre con el centro hospitalario de Dax y el hospital de Villefranche-sur-Saône, ambos atacados por un grupo conocido como Ryuk.

Los datos robados del grupo de hospitales del territorio Cœur-Grand-Est, por otro lado, se pusieron a la venta en abril, después de un ataque de ransomware. Vice Society, un grupo ciberdelincuente conocido por practicar la doble extorsión, también es sospechoso de haber atacado un hospital en Ajaccio en marzo y el hospital en Arles en 2021. Los diversos sitios del grupo de piratas informáticos son inaccesibles, El mundo sin embargo, no pudo confirmar si se habían liberado datos robados.

Vea nuestro archivo: Ataques de ransomware: la ola

Florián Reynaud y Luis Adán

Cuatro días después de ser objeto de un ataque informático, el hospital de Corbeil-Essonnes, en las afueras de París, anunció el miércoles 24 de agosto que trasladaba “todos los pacientes que están inestables o requieren atención aguda” y «pacientes en riesgo, que necesitan mayor seguimiento». El centro hospitalario Sud-Francilien (CHSF) precisó que “Los pacientes en condición estable permanecen[rait] dentro [leurs] local «.

Lea también: En Essonne, el centro hospitalario Sud-Francilien víctima de un ciberataque, su actividad se ve gravemente interrumpida

Los servicios de biología médica e imagen están funcionando, no habiendo afectado la configuración de los dispositivos por el ciberataque. Sin embargo, ya no pueden transmitir los resultados rápidamente, especifica el hospital. “Todos los exámenes se hacen manualmente”, explica un representante sindical de SUD-Santé de la CHSF, Franck Banizette. Con, por tanto, retrasos superiores a la media.

Los pacientes que requieren exámenes periódicos y frecuentes con poca antelación son transferidos a otras estructuras. Esto se refiere, por ejemplo, a pacientes de emergencia o bebés hospitalizados en cuidados intensivos y cuidados intensivos neonatales.

Consultas y entregas garantizadas

«En Urgencias la actividad es cercana a cero» y “la gavilla neonatal ha sido vaciada”dice el representante sindical. “Todas las intervenciones riesgosas o complejas” también se transfieren, pero «cirugía menor» no fue interrumpido.

Quedan aseguradas las consultas, la atención programada en hospitales de día y el parto. “Del mismo modo, la farmacia ha tomado medidas rápidas que garantizan la continuidad del suministro de servicios con medicamentos y productos sanitarios”, agrega el hospital en un comunicado de prensa. Los pacientes de los departamentos de cardiología y de seguimiento y rehabilitación fueron trasladados internamente a la unidad de cuidados intensivos de cardiología, «preventivamente».

Lea también: Ciberdelincuencia: el hospital, un objetivo privilegiado y polémico para los hackers

Ante la imposibilidad de dar un cronograma para la vuelta a la normalidad, el hospital decidió dotarse de grabadoras de CD para almacenar y transmitir datos de imágenes e instrumentos que permitieran realizar exámenes de biología directamente en los servicios, principalmente en cuidados críticos.

«Se está probando un servidor puesto a disposición por Assistance Publique-Hôpitaux de Paris para acceder a las copias de seguridad del establecimiento»dice el hospital.

El mundo con AFP

Por favor, no pague el rescate. Esta es la orden de las autoridades. 10 millones de dólares, una suma colosal reclamada por el Hackers del hospital de Corbeil-Essonnes. El establishment de Ile-de-France es víctima de una ataque informático desde el domingo. Pantalla negra durante dos días, la base de datos de pacientes es inaccesible. Se ha activado un plan de emergencia para asegurar la continuidad asistencial en un hospital desorganizado, casi paralizado, como ha visto Europa 1.

«Más acceso a la historia clínica de los pacientes»

Con la mano en la frente, mirando al vacío, Aurélie, médico del hospital, termina un día muy difícil. En su departamento, pantallas negras, toma de notas a mano y un lío administrativo, consecuencias del hackeo. “Es muy complicado porque hay que rehabilitar completamente, revisar todo. Ya no hay acceso a los registros médicos de los pacientes. Necesitamos comparar los exámenes con los que se han hecho antes, no podemos. Es demasiado complicado”. Y para limitar los daños, se ha declarado el plan blanco. Muchas operaciones y radiografías pospuestas.

Entonces, para Johan, sentado en su silla de ruedas con un abrigo azul, hospitalizado por una fractura, nada sucedió como estaba planeado. «Tuve un escaneo que, al final, se canceló. No sé cuándo se pospuso. Así que estamos un poco a oscuras y estamos esperando para saber qué está pasando. Volvimos al edad de piedra, pero es cierto que es un poco doloroso».

Molestia también a Loïc, que vino a visitar a su prima. Tomó mucho, mucho tiempo encontrarlo. “Me dicen que no sabemos dónde está, no sabemos la habitación donde está internado por el hackeo de la computadora. Entonces busqué durante 3h30, pasé por todas las puertas una detrás de otra. . Es muy agotador.» Y a la espera de que la investigación esclarezca este ciberataque masivo, las consultas menos urgentes son trasladadas al centro médico de guardia, porque algunos cuidadores dicen: «A largo plazo, no aguantaremos».