Agencias federales, asociaciones de atención médica e investigadores de seguridad advierten que un grupo de ransomware rastreado con el nombre Black Basta está devastando sectores de infraestructura crítica en ataques que se han dirigido a más de 500 organizaciones en los últimos dos años.

Una de las últimas víctimas del grupo nativo de habla rusa, según CNN, es Ascension, un sistema de atención médica con sede en St. Louis que incluye 140 hospitales en 19 estados. Una intrusión en la red que afectó a la organización sin fines de lucro la semana pasada derribó muchos de sus procesos automatizados para manejar la atención al paciente, incluidos sus sistemas para administrar registros médicos electrónicos y solicitar pruebas, procedimientos y medicamentos. Posteriormente, Ascension desvió ambulancias de algunos de sus hospitales y dependió de procesos manuales.

“Severas interrupciones operativas”

En un aviso publicado el viernes, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad dijeron que Black Basta ha victimizado a 12 de los 16 sectores de infraestructura críticos del país en ataques que ha realizado contra 500 organizaciones en todo el mundo. La asociación de atención médica sin fines de lucro Health-ISAC emitió su propio aviso el mismo día en el que advertía que las organizaciones que representa son objetivos especialmente deseables del grupo.

«El notorio grupo de ransomware, Black Basta, ha acelerado recientemente los ataques contra el sector de la salud», afirma el aviso. Continuó diciendo: «En el último mes, al menos dos organizaciones de atención médica, en Europa y Estados Unidos, fueron víctimas del ransomware Black Basta y sufrieron graves interrupciones operativas».

Black Basta opera desde 2022 bajo lo que se conoce como modelo de ransomware como servicio. Según este modelo, un grupo central crea la infraestructura y el malware para infectar sistemas en toda una red una vez que se realiza una intrusión inicial y luego, simultáneamente, cifra datos críticos y los extrae. Los afiliados realizan la piratería propiamente dicha, que normalmente implica phishing u otro tipo de ingeniería social o la explotación de vulnerabilidades de seguridad en el software utilizado por el objetivo. El grupo central y los afiliados dividen los ingresos resultantes.

Recientemente, investigadores de la firma de seguridad Rapid7 observaron a Black Basta usando una técnica que nunca antes habían visto. El objetivo final era engañar a los empleados de las organizaciones objetivo para que instalaran software malicioso en sus sistemas. El lunes, los analistas de Rapid7 Tyler McGraw, Thomas Elkins y Evan McCann informaron:

Desde finales de abril de 2024, Rapid7 identificó múltiples casos de una novedosa campaña de ingeniería social. Los ataques comienzan cuando un grupo de usuarios en el entorno de destino recibe un gran volumen de correos electrónicos no deseados. En todos los casos observados, el spam fue lo suficientemente importante como para superar las soluciones de protección de correo electrónico implementadas y llegó a la bandeja de entrada del usuario. Rapid7 determinó que muchos de los correos electrónicos en sí no eran maliciosos, sino que consistían en correos electrónicos de confirmación de suscripción al boletín de numerosas organizaciones legítimas de todo el mundo.

Con los correos electrónicos enviados y los usuarios afectados luchando por manejar el volumen de spam, el actor de amenazas comenzó a llamar a los usuarios afectados haciéndose pasar por un miembro del equipo de TI de su organización que se acercaba para ofrecer soporte para sus problemas de correo electrónico. Para cada usuario al que llamaron, el actor de amenazas intentó diseñar socialmente al usuario para que proporcionara acceso remoto a su computadora mediante el uso de soluciones legítimas de administración y monitoreo remoto. En todos los casos observados, Rapid7 determinó que el acceso inicial fue facilitado por la descarga y ejecución de la solución RMM AnyDesk, comúnmente abusada, o la utilidad de soporte remoto integrada de Windows Quick Assist.

En caso de que los intentos de ingeniería social del actor de amenazas no lograran que un usuario proporcionara acceso remoto, Rapid7 observó que inmediatamente pasaban a otro usuario que había sido blanco de sus correos electrónicos masivos de spam.

Desde al menos 2019, una figura oscura que se esconde detrás de varios seudónimos se ha regodeado públicamente de extorsionar millones de dólares a miles de víctimas que él y sus asociados habían pirateado. Ahora, por primera vez, «LockBitSupp» ha sido desenmascarado por un equipo internacional de aplicación de la ley y se ha ofrecido una recompensa de 10 millones de dólares por su arresto.

En una acusación formal revelada el martes, los fiscales federales estadounidenses desenmascararon al extravagante personaje como Dmitry Yuryevich Khoroshev, un ciudadano ruso de 31 años. Los fiscales dijeron que durante sus cinco años al frente de LockBit, uno de los grupos de ransomware más prolíficos, Khoroshev y sus subordinados extorsionaron 500 millones de dólares a unas 2.500 víctimas, aproximadamente 1.800 de las cuales estaban ubicadas en Estados Unidos. Su parte de los ingresos fue supuestamente de unos 100 millones de dólares.

Daños por miles de millones de dólares

«Más allá de los pagos y las demandas de rescate, los ataques LockBit también perturbaron gravemente las operaciones de sus víctimas, causando pérdida de ingresos y gastos asociados con la respuesta y recuperación de incidentes», escribieron los fiscales federales. “Con estas pérdidas incluidas, LockBit causó daños en todo el mundo por un total de miles de millones de dólares estadounidenses. Además, los datos que Khoroshev y sus cómplices afiliados a LockBit robaron, que contenían información organizacional y personal altamente sensible, permanecieron inseguros y comprometidos a perpetuidad, a pesar de las falsas promesas en sentido contrario de Khoroshev y sus cómplices”.

La acusación formal acusa al ciudadano ruso de un cargo de conspiración para cometer fraude, extorsión y actividades relacionadas con computadoras, un cargo de conspiración para cometer fraude electrónico, ocho cargos de daño intencional a una computadora protegida, ocho cargos de extorsión en relación a información confidencial de una computadora protegida, y ocho cargos de extorsión en relación con daños a una computadora protegida. Si es declarado culpable, Khoroshev enfrenta una pena máxima de 185 años de prisión.

Además de la acusación, funcionarios del Departamento del Tesoro de Estados Unidos (junto con sus homólogos del Reino Unido y Australia) anunciaron sanciones contra Khoroshev. Entre otras cosas, las sanciones estadounidenses permiten a los funcionarios imponer sanciones civiles a cualquier persona estadounidense que realice o facilite pagos al grupo LockBit. El Departamento de Estado de Estados Unidos también anunció una recompensa de 10 millones de dólares por cualquier información que conduzca al arresto o condena de Khoroshev.

Eliminando LockBit

Las acciones del martes se producen 11 semanas después de que las agencias policiales de EE. UU. y otros 10 países asestaran un duro golpe a la infraestructura que los miembros de LockBit utilizaban para operar su empresa de ransomware como servicio. Imágenes que las autoridades federales publicaron en el sitio web oscuro donde LockBit nombró y avergonzó a las víctimas indicaron que habían tomado el control de /etc/shadow, un archivo de Linux que almacena contraseñas cifradas criptográficamente. Solo un usuario con root, el nivel más alto de privilegios del sistema, puede acceder al archivo, uno de los más sensibles a la seguridad en Linux.

En total, dijeron las autoridades en febrero, tomaron el control de 14.000 cuentas asociadas a LockBit y 34 servidores ubicados en los Países Bajos, Alemania, Finlandia, Francia, Suiza, Australia, Estados Unidos y el Reino Unido. Dos sospechosos de LockBit fueron arrestados en Polonia y Ucrania, y se emitieron cinco acusaciones y tres órdenes de arresto. Las autoridades también congelaron 200 cuentas de criptomonedas vinculadas a la operación de ransomware. La Agencia Nacional contra el Crimen del Reino Unido dijo el martes que el número de afiliados activos de LockBit ha caído de 114 a 69 desde la acción de febrero, denominada Operación Cronos.

A mediados de marzo, un hombre de Ontario, Canadá, condenado por trabajar para LockBit fue sentenciado a cuatro años de prisión. Mikhail Vasiliev, de 33 años en el momento de la sentencia, fue arrestado en noviembre de 2022 y acusado de conspirar para infectar computadoras protegidas con ransomware y enviar demandas de rescate a las víctimas. Se declaró culpable en febrero de ocho cargos de extorsión cibernética, travesuras y armas.

La identidad en el mundo real del alter ego LockBitSupp de Khoroshev ha sido muy buscada durante años. LockBitSupp prosperó gracias a su anonimato en publicaciones frecuentes en foros de piratería de habla rusa, donde se jactaba de la destreza y la perspicacia de su trabajo. En un momento, prometió una recompensa de 10 millones de dólares a cualquiera que revelara su identidad. Después de que la operación de febrero derribara gran parte de la infraestructura de LockBit, los fiscales insinuaron que sabían quién era LockBitSupp, pero no llegaron a nombrarlo.

LockBit ha estado funcionando al menos desde 2019 y también fue conocido con el nombre de “ABCD” en el pasado. A los tres años de su fundación, el malware del grupo era el ransomware de mayor circulación. Como la mayoría de sus pares, LockBit ha operado bajo lo que se conoce como ransomware como servicio, en el que proporciona software e infraestructura a los afiliados que lo utilizan para realizar el pirateo real. LockBit y sus afiliados luego dividen los ingresos resultantes.

Historia actualizada para corregir la edad de Khoroshev. Inicialmente, el Departamento de Estado dijo que su fecha de nacimiento era el 17 de abril de 1973. Posteriormente, la agencia dijo que era el 17 de abril de 1993.

El gigante inmobiliario estadounidense Brandywine Realty Trust ha confirmado un ciberataque que resultó en el robo de datos de su red.

En una presentación ante los reguladores el martes, Brandywine, con sede en Filadelfia, describió el incidente de ciberseguridad como acceso no autorizado y el “despliegue de cifrado” en sus sistemas de TI corporativos internos, consistente con un ataque de ransomware.

Brandywine dijo que el ciberataque provocó la interrupción de las aplicaciones comerciales de la empresa que respaldan sus operaciones y funciones corporativas, incluidos sus sistemas de informes financieros.

La compañía dijo que cerró algunos de sus sistemas y cree que ha contenido la actividad. La compañía confirmó que los piratas informáticos tomaron archivos de sus sistemas, pero aún estaba investigando si se tomó información confidencial o personal.

Brandywine es uno de los fideicomisos inmobiliarios (REIT) más grandes de los Estados Unidos, con una cartera de aproximadamente 70 propiedades en Austin, Filadelfia y Washington DC según su último informe de ganancias de abril.

Según se informa, algunos de los inquilinos más importantes de la compañía incluyen IBM, Spark Therapeutics y Comcast.

Desde la introducción de nuevas reglas en diciembre, las empresas estadounidenses que cotizan en bolsa están obligadas a revelar a los inversores los eventos de ciberseguridad que puedan tener un impacto material en el negocio. Al momento de la presentación, Brandywine dijo que no cree que sea «razonablemente probable que el incidente afecte materialmente» sus operaciones.

Khoroshev supuestamente ha estado involucrado en LockBit desde que surgió por primera vez en septiembre de 2019. A lo largo de los años, los ataques de ransomware LockBit se han cobrado más de 2500 víctimas en al menos 120 países, y Khoroshev y otros cómplices supuestamente recaudaron al menos 500 millones de dólares en pagos de rescate.

En febrero, las fuerzas del orden de EE.UU. y el Reino Unido Se apoderaron de los sitios web y servidores. utilizado por LockBit e incluso obtuvo las claves que podrían usar para ayudar a las organizaciones a recuperar el acceso a sus datos. En ese momento, también acusó a Artur Sungatov e Ivan Kondratyev de utilizar LockBit contra víctimas en Estados Unidos.

Khoroshev supuestamente tomó el 20 por ciento de cada pago de rescate extorsionado a las víctimas y también operó el sitio de filtración de datos del grupo. Las autoridades descubrieron que Khoroshev conservó los datos robados de las víctimas incluso después de que el grupo «prometió falsamente» que eliminaría la información al recibir un pago.

«La acusación de hoy marca un hito importante en la investigación y el enjuiciamiento de LockBit, que ya ha dado lugar a cargos contra otras cinco filiales de LockBit, dos de las cuales están bajo custodia en espera de juicio, y a una interrupción importante de la ahora desacreditada operación LockBit», afirmó el fiscal federal. dice Philip R. Sellinger del Distrito de Nueva Jersey en un comunicado.

Khoroshev enfrenta 26 cargos, incluido un cargo de conspiración para cometer fraude y ocho cargos de extorsión para dañar una computadora protegida, y hasta 185 años de prisión. Además de sancionar a Khoroshev, los federales ofrecen una recompensa de 10 millones de dólares por información que ayude a las autoridades a detenerlo.

Una coalición internacional de agencias policiales ha resucitado el sitio web oscuro de la famosa banda de ransomware LockBit, que habían incautado a principios de este año, provocando nuevas revelaciones sobre el grupo.

El domingo, lo que alguna vez fue el sitio oficial de la red oscura de LockBit reapareció en línea con nuevas publicaciones que sugieren que las autoridades están planeando publicar nueva información sobre los piratas informáticos en las próximas 24 horas, al momento de escribir este artículo.

Las publicaciones tienen títulos como «¿Quién es LockBitSupp?» «¿Qué hemos aprendido?», «Más piratas informáticos de LB expuestos» y «¿Qué hemos estado haciendo?»

En febrero, una coalición policial que incluía a la Agencia Nacional contra el Crimen (NCA) del Reino Unido, la Oficina Federal de Investigaciones de EE. UU. y fuerzas de Alemania, Finlandia, Francia, Japón y otros anunciaron que se habían infiltrado en el sitio oficial de LockBit. La coalición se apoderó del sitio y reemplazó la información que contenía con su propio comunicado de prensa y otra información en un claro intento de trolear y advertir a los piratas informáticos que las autoridades los estaban siguiendo.

La operación de febrero también incluyó el arresto de dos presuntos miembros de LockBit en Ucrania y Polonia; la caída de 34 servidores en Europa, el Reino Unido y Estados Unidos; y la incautación de más de 200 carteras de criptomonedas pertenecientes a los piratas informáticos.

La portavoz del FBI, Samantha Shero, dijo a TechCrunch que la oficina no tenía comentarios. La NCA no respondió a una solicitud de comentarios.

LockBit surgió por primera vez en 2019 y desde entonces se ha convertido en una de las bandas de ransomware más prolíficas del mundo, generando millones de dólares en pagos de rescate. El grupo ha demostrado ser muy resistente. Incluso después del desmantelamiento de febrero, el grupo resurgió con un nuevo sitio de filtración en la web oscura, que se actualizó activamente. con nuevas presuntas víctimas.

Todas las publicaciones nuevas en el sitio web incautado, excepto una, tienen una cuenta regresiva que finaliza a las 9 a. m., hora del este del martes 7 de mayo, lo que sugiere que es entonces cuando las autoridades anunciarán las nuevas acciones contra LockBit. Otra publicación dice que el sitio se cerrará en cuatro días.

Desde que las autoridades anunciaron lo que llamaron «Operación Cronos» contra LockBit en febrero, el líder del grupo, conocido como LockBitSupp, afirmó en una entrevista que las fuerzas del orden han exagerado su acceso a la organización criminal, así como el efecto de su desmantelamiento.

El domingo, el colectivo de hackers vx-underground escribió en X que habían hablado con el personal administrativo de LockBit, quienes les habían dicho que la policía estaba mintiendo.

“No entiendo por qué están montando este pequeño espectáculo. Están claramente molestos porque seguimos trabajando”, dijo el personal, según vx-underground.

Aún se desconoce la identidad de LockBitSupp, aunque eso podría cambiar pronto. Una de las nuevas publicaciones en el sitio LockBit incautado promete revelar la identidad del hacker el martes. Cabe señalar, sin embargo, que la versión anterior del sitio incautado también parecía prometer revelar la identidad del líder de la pandilla, pero finalmente no lo hizo.

Esta historia se actualizó para incluir el no comentario del FBI.

El Agencia de Seguridad de Infraestructura y Ciberseguridaduna rama del Departamento de Seguridad Nacional, está implementando un programa que advierte a las organizaciones sobre posibles ataques de ransomware. CyberScoop informes. El programa se está ejecutando actualmente como piloto y estará en pleno funcionamiento a finales de 2024. Alrededor de 7.000 organizaciones se han inscrito en el piloto.

Hasta ahora, CISA ha emitido 2049 advertencias desde que se lanzó el piloto en enero de 2023. «El piloto de advertencia se centra en reducir la prevalencia del ransomware mediante el uso de nuestras herramientas de escaneo de vulnerabilidades para informar a las empresas si tienen vulnerabilidades que deben corregirse». La directora de CISA, Jen Easterly, dijo CiberScoop. Para recibir alertas, las organizaciones deben registrarse en la herramienta de escaneo de higiene cibernética de CISA.

Según CISA Página de preguntas frecuentes para el programa.la herramienta «[e]evalúa la presencia de la red externa mediante la ejecución de escaneos continuos de IPv4 públicos y estáticos en busca de vulnerabilidades y servicios accesibles. Este servicio proporciona informes semanales de vulnerabilidad y alertas ad hoc”. Easterly agregó que CISA también usará ocasionalmente su poder de citación administrativa para identificar los puntos de contacto de las organizaciones que no se han registrado para sus servicios y alertarlos sobre las vulnerabilidades que encuentra en sus dispositivos con acceso a Internet.

Los ataques de ransomware van en aumento. El número de víctimas reportadas por los sitios de fuga de ransomware aumentó en un 49 por ciento de 2022 a 2023, según un análisis realizado a principios de este año por una empresa de inteligencia sobre amenazas. Casi la mitad de esas víctimas se encontraban en Estados Unidos, según el análisis. Las industrias más afectadas fueron la manufactura, los servicios profesionales y legales y la alta tecnología. El informe también identificó 25 sitios que ofrecían ransomware como servicio, aunque al menos cinco de ellos parecen haber cerrado.

Los ciberatacantes están experimentando con su último ransomware en empresas de África, Asia y América del Sur antes de atacar a países más ricos que tienen métodos de seguridad más sofisticados.

Los piratas informáticos han adoptado una “estrategia” de infiltrarse en sistemas en el mundo en desarrollo antes de pasar a objetivos de mayor valor, como América del Norte y Europa, según un informe publicado el miércoles por la firma de seguridad cibernética Performanta.

«Los adversarios están utilizando los países en desarrollo como una plataforma donde pueden probar sus programas maliciosos antes de que los países con más recursos sean atacados», dijo la compañía a Banking Risk and Regulatory, un servicio de FT Specialist.

Los objetivos recientes de ransomware incluyen un banco senegalés, una empresa de servicios financieros en Chile, una firma tributaria en Colombia y una agencia económica gubernamental en Argentina, que fueron atacados como parte de los simulacros de las pandillas en países en desarrollo, según mostraron los datos.

La investigación se produce cuando los ataques cibernéticos casi se han duplicado desde antes de la pandemia de COVID-19, exacerbados en el mundo en desarrollo por la rápida digitalización, buenas redes de Internet y una protección “inadecuada”, dijo el FMI este mes.

Las pérdidas reportadas por incidentes cibernéticos a empresas de todo el mundo desde 2020 habían aumentado a casi 28 mil millones de dólares, con miles de millones de registros robados o comprometidos, dijo el FMI, y agregó que los costos totales probablemente serían “sustancialmente más altos”.

La táctica de “preparación” funcionó porque las empresas en esos países tenían “menos conciencia de la seguridad cibernética”, dijo Nadir Izrael, director de tecnología del grupo de seguridad cibernética Armis.

«Digamos que vas a atacar a los bancos», dijo Izrael. «Se probaría un nuevo paquete de armas en un país como Senegal o Brasil, donde hay suficientes bancos que podrían ser similares, o brazos internacionales de empresas que son similares a lo que uno quisiera intentar atacar».

Medusa, una banda cibernética que “convierte archivos en piedra” robando y cifrando datos de empresas, comenzó a atacar empresas en 2023 en Sudáfrica, Senegal y Tonga, según el informe de Performanta. Medusa fue responsable de 99 infracciones en Estados Unidos, Reino Unido, Canadá, Italia y Francia el año pasado.

Los equipos de seguridad detectarían alertas sobre un ataque pendiente, pero el usuario promedio sólo se daría cuenta de uno cuando estuviera bloqueado de su sistema informático, dijo Hanah-Marie Darley, directora de investigación de amenazas de la firma de seguridad cibernética Darktrace.

Un archivo, con la línea de asunto !!!READ_ME_MEDUSA!!!.txt., indicaría al usuario que inicie sesión en la web oscura e inicie la negociación del rescate con el “servicio al cliente” de la pandilla. Si las víctimas se niegan, los ciberatacantes publican los datos robados.

Las empresas de seguridad cibernética monitorean la web oscura en busca de información y luego crean “honeypots” (sitios web falsos que imitan objetivos atractivos) en países en desarrollo para detectar ataques experimentales en una etapa temprana.

Cuando un grupo de ciberatacantes comenzó este año a discutir una nueva vulnerabilidad, denominada CVE-2024-29201, «se dirigieron específicamente a algunos [exposed servers] en países del tercer mundo para probar qué tan confiable era el exploit”, dijo Izrael de Armis, cuyos analistas estaban monitoreando las conversaciones de la pandilla en la web oscura.

Los ataques a los honeypots de Armis, 11 días después, confirmaron las sospechas: la banda sólo atacó el Sudeste Asiático, antes de utilizar las técnicas más ampliamente en una fase posterior.

Sherrod DeGrippo, director de estrategia de inteligencia de amenazas de Microsoft, sin embargo, dijo que algunas bandas cibernéticas eran demasiado “oportunistas” para probar nuevos ataques de manera tan metódica.

Más bien, los países en desarrollo habían experimentado una mayor actividad a medida que los piratas informáticos de los países más pobres podían comprar ransomware barato y realizar sus propios pequeños ataques, dijo DeGrippo.

Pandillas como Medusa habían comenzado a vender sus inventos a piratas informáticos menos sofisticados, dijo el director de Darktrace, Darley. Esos piratas informáticos de menor escala a menudo no sabían cómo funciona la tecnología y la usaban contra objetivos más fáciles, dijo.

Cualquier atacante que se tomara el tiempo de “aislar sus técnicas” (para experimentar en zonas cibernéticas relativamente desprotegidas en países en desarrollo) era más sofisticado, añadió.

Teresa Walsh, directora de inteligencia del organismo global de inteligencia sobre amenazas cibernéticas FS-ISAC, dijo que las pandillas trabajarían dentro del entorno local para «perfeccionar» los métodos de ataque, dijo, y luego «exportar» sus esquemas a países donde se pueda hablar el mismo idioma. : Desde Brasil hasta Portugal, por ejemplo.

La velocidad de la adopción digital en África está «superando el desarrollo de medidas sólidas de seguridad cibernética, y la conciencia general sobre las amenazas cibernéticas es baja», dijo Brendan Kotze, analista cibernético de Performanta.

«En combinación, esto crea una brecha cada vez más preocupante en las defensas que los ciberdelincuentes están explotando», añadió.

Ellesheva Kissin es reportera de Regulación y Riesgo Bancario, un servicio de FT Specialist.

© 2024 The Financial Times Ltd. Todos los derechos reservados. No debe ser redistribuido, copiado ni modificado de ninguna manera.

Para Change Healthcare y los asediados consultorios médicos, hospitales y pacientes que dependen de él, la confirmación de su pago de extorsión a los piratas informáticos añade una amarga coda a una historia ya de por sí distópica. La parálisis digital de Change Healthcare, una subsidiaria de UnitedHealth Group, por parte de AlphV, afectó la aprobación de seguros de recetas y procedimientos médicos para cientos de consultorios médicos y hospitales en todo el país, lo que la convirtió, según algunas medidas, en la interrupción del ransomware médico más extendida jamás realizada. Una encuesta entre miembros de la Asociación Médica Estadounidense, realizada entre el 26 de marzo y el 3 de abril, encontró que cuatro de cada cinco médicos habían perdido ingresos como resultado de la crisis. Muchos dijeron que estaban usando sus propias finanzas personales para cubrir los gastos de su consultorio. Mientras tanto, Change Healthcare dice que ha perdido 872 millones de dólares por el incidente y proyecta que esa cifra aumentará a más de mil millones a largo plazo.

La confirmación de Change Healthcare de su pago de rescate ahora parece mostrar que gran parte de esas catastróficas consecuencias para el sistema de salud de EE. UU. se desarrollaron. después ya había pagado a los piratas informáticos una suma exorbitante: un pago a cambio de una clave de descifrado para los sistemas que los piratas informáticos habían cifrado y la promesa de no filtrar los datos robados de la empresa. Como suele ser el caso en los ataques de ransomware, la interrupción de sus sistemas por parte de AlphV parece haber sido tan generalizada que el proceso de recuperación de Change Healthcare se ha prolongado mucho después de obtener la clave de descifrado diseñada para desbloquear sus sistemas.

En lo que respecta a los pagos de ransomware, 22 millones de dólares no sería lo máximo que una víctima ha desembolsado. Pero está cerca, dice Brett Callow, un investigador de seguridad centrado en ransomware que habló con WIRED sobre el pago sospechoso en marzo. Sólo unos pocos pagos excepcionales, como los 40 millones de dólares pagados a los piratas informáticos por CNA Financial en 2021, superan esa cifra. «No carece de precedentes, pero ciertamente es muy inusual», dijo Callow sobre la cifra de 22 millones de dólares.

Esa inyección de fondos de 22 millones de dólares en el ecosistema de ransomware alimenta aún más un círculo vicioso que ha alcanzado proporciones epidémicas. La empresa de rastreo de criptomonedas Chainalysis descubrió que en 2023, las víctimas de ransomware pagaron a los piratas informáticos que las atacaban 1.100 millones de dólares, un nuevo récord. El pago de Change Healthcare puede representar sólo una pequeña gota en ese cubo. Pero recompensa a AlphV por sus ataques altamente dañinos y puede sugerir a otros grupos de ransomware que las empresas de atención médica son objetivos particularmente rentables, dado que esas empresas son especialmente sensibles tanto al alto costo financiero de esos ciberataques como a los riesgos que representan para la salud de los pacientes.

El desorden de Change Healthcare se ve agravado por una aparente doble traición dentro del sector clandestino del ransomware: AlphV, según todas las apariencias, fingió su propia eliminación policial después de recibir el pago de Change Healthcare en un intento de evitar compartirlo con sus supuestos afiliados, los piratas informáticos que se asocian con el grupo para penetrar a las víctimas en su nombre. El segundo grupo de ransomware que amenaza a ChangeHealthcare, RansomHub, ahora afirma a WIRED que obtuvieron los datos robados de esos afiliados, que todavía quieren que les paguen por su trabajo.

Esto ha creado una situación en la que el pago de Change Healthcare ofrece poca garantía de que sus datos comprometidos no seguirán siendo explotados por piratas informáticos descontentos. “Estos afiliados trabajan para múltiples grupos. Les preocupa que les paguen ellos mismos y no hay confianza entre los ladrones”, dijo DiMaggio de Analyst1 a WIRED en marzo. «Si alguien jode a otra persona, no sabes qué va a hacer con los datos».

Todo eso significa que Change Healthcare todavía tiene pocas garantías de haber evitado un escenario aún peor que el que ha enfrentado hasta ahora: pagar lo que puede ser uno de los rescates más grandes de la historia y seguir viendo sus datos derramados en la web oscura. «Si se filtra después de que pagaron 22 millones de dólares, es como prender fuego a ese dinero», advirtió DiMaggio en marzo. «Habrían quemado ese dinero por nada».

Un grupo de extorsión ha publicado una parte de lo que dice son registros privados y confidenciales de pacientes de millones de estadounidenses robados durante el ataque de ransomware a Change Healthcare en febrero.

El lunes, una nueva banda de ransomware y extorsión que se hace llamar RansomHub publicó varios archivos en su sitio de filtración en la web oscura que contienen información personal sobre pacientes en diferentes documentos, incluidos archivos de facturación, registros de seguros e información médica.

Algunos de los archivos, que TechCrunch ha visto, también contienen contratos y acuerdos entre Change Healthcare y sus socios.

RansomHub amenazó con vender los datos al mejor postor a menos que Change Healthcare pague un rescate.

Es la primera vez que los ciberdelincuentes publican pruebas de que tienen en su poder registros médicos y de pacientes procedentes del ciberataque.

Para Change Healthcare, hay otra complicación: este es el segundo grupo que exige un pago de rescate para evitar la divulgación de datos robados de pacientes en otros tantos meses.

UnitedHealth Group, la empresa matriz de Change Healthcare, dijo que no había evidencia de un nuevo incidente cibernético. “Estamos trabajando con las autoridades y expertos externos para investigar las reclamaciones publicadas en línea y comprender el alcance de los datos potencialmente afectados. Nuestra investigación permanece activa y en curso”, dijo Tyler Mason, portavoz de UnitedHealth Group.

Lo más probable es que una disputa entre miembros y afiliados de la banda de ransomware dejara los datos robados en el limbo y Change Healthcare quedara expuesto a más extorsión.

Una banda de ransomware con sede en Rusia llamada ALPHV se atribuyó el mérito del robo de datos de Change Healthcare. Luego, a principios de marzo, ALPHV desapareció repentinamente junto con un pago de rescate de 22 millones de dólares que supuestamente Change Healthcare pagó para evitar la divulgación pública de los datos de los pacientes.

Un afiliado de ALPHV, esencialmente un contratista que gana una comisión por los ataques cibernéticos que lanza utilizando el malware de la pandilla, hizo pública su afirmación de haber llevado a cabo el robo de datos en Change Healthcare, pero que el equipo principal de ALPHV/BlackCat les quitó su parte del dinero. el pago del rescate y desapareció con el lote. El contratista dijo que los datos de millones de pacientes «todavía están con nosotros».

Ahora, RansomHub dice «tenemos los datos y no ALPHV». Wired, que informó por primera vez sobre el intento de extorsión del segundo grupo el viernes, citó a RansomHub diciendo que estaba asociado con el afiliado que todavía tenía los datos.

UnitedHealth se negó anteriormente a decir si pagó el rescate de los piratas informáticos, ni dijo cuántos datos fueron robados en el ciberataque.

El gigante de la salud dijo en un comunicado el 27 de marzo que obtuvo un conjunto de datos «seguro para que podamos acceder y analizar», que la compañía obtuvo a cambio del pago del rescate, según se enteró TechCrunch de una fuente con conocimiento del incidente en curso. UHG dijo que estaba «dando prioridad a la revisión de datos que creemos que probablemente contengan información de salud, información de identificación personal, reclamos y elegibilidad o información financiera».

Change Healthcare se enfrenta a una nueva pesadilla de ciberseguridad después de que un grupo de ransomware comenzara a vender lo que afirma son registros médicos y financieros confidenciales de estadounidenses robados al gigante de la atención médica.

«Para la mayoría de las personas estadounidenses que dudan de nosotros, probablemente tengamos sus datos personales», dijo la pandilla RansomHub en un anuncio visto por WIRED.

Los datos robados supuestamente incluyen registros médicos y dentales, reclamos de pago, detalles del seguro e información personal como números de Seguro Social y direcciones de correo electrónico, según capturas de pantalla. RansomHub afirmó que tenía datos de atención médica sobre personal militar estadounidense en servicio activo.

El robo y la venta generalizados de datos confidenciales sobre atención médica representan una nueva y dramática forma de consecuencias del ciberataque de febrero a Change Healthcare que paralizó las operaciones de pago de reclamos de la compañía y envió al sistema de atención médica de EE. UU. a una crisis mientras los hospitales luchaban por permanecer abiertos sin financiamiento regular. .

Change Healthcare, una subsidiaria de UnitedHealth Group, reconoció anteriormente que una banda de ransomware conocida como BlackCat o AlphV violó sus sistemas y le dijo a WIRED la semana pasada que está investigando las afirmaciones de RansomHub sobre la posesión de datos robados de la compañía. Change Healthcare no respondió de inmediato a una solicitud de comentarios sobre la supuesta venta de sus datos por parte del grupo.

La amplia variedad de datos de pacientes que RansomHub afirma estar vendiendo es un testimonio del papel de Change Healthcare como intermediario crítico entre aseguradoras y proveedores de atención médica, facilitando los pagos entre ambas partes y recopilando una gran cantidad de información confidencial sobre los pacientes y sus procedimientos médicos en el proceso. .

Entre los registros de muestra que publicó RansomHub se encuentra una lista de reclamos abiertos manejados por la subsidiaria EquiClaim de la compañía que incluye nombres de pacientes y proveedores; un expediente hospitalario de una mujer de 74 años en Tampa, Florida; y parte de un registro de base de datos relacionado con la atención médica de los miembros del servicio militar estadounidense.

RansomHub dijo que permitiría a las compañías de seguros individuales que trabajaron con Change Healthcare y cuyos datos se vieron comprometidos pagar rescates para evitar la venta de sus registros. Precisó que estaba vendiendo datos pertenecientes a MetLife, CVS Caremark, Davis Vision, Health Net y Teachers Health Trust.

El «procesamiento de datos confidenciales de todas estas empresas por parte de Change Healthcare es simplemente algo increíble», dijo RansomHub en su anuncio.

La mayoría de las empresas cuyos datos RansomHub afirma poseer no respondieron de inmediato a la solicitud de comentarios de WIRED.

Mike DeAngelis, director ejecutivo de comunicaciones corporativas de CVS Health, dice que la compañía está «consciente de afirmaciones sin fundamento de actores de amenazas de que se accedió a datos confidenciales, incluida información personal de pacientes y miembros que pertenecen a múltiples organizaciones, como parte del incidente de seguridad cibernética de Change Healthcare». .”

«Estamos monitoreando de cerca la respuesta de Change Healthcare a este problema y proporcionaremos actualizaciones con más información según corresponda», agrega DeAngelis, señalando que Change Healthcare aún no ha confirmado que los datos de los pacientes «se hayan visto afectados por este incidente».

Brett Callow, analista de amenazas de la firma de seguridad Emsisoft, que sigue de cerca a las bandas de ransomware, dice que la nueva venta de datos robados probablemente «se trató menos de vender los datos» y más de poner a Change Healthcare, y a las empresas asociadas cuyos registros no logró. proteger: “bajo presión adicional para pagar”.

Change Healthcare parece haber pagado un rescate de 22 millones de dólares a AlphV para evitar que filtre terabytes de datos robados.

Dos meses después de la crisis generada por el ataque de ransomware, Change Healthcare ha enfrentado pérdidas crecientes. La compañía informó recientemente que gastó 872 millones de dólares en respuesta al incidente hasta el 31 de marzo.

Al mismo tiempo, Change está bajo una presión cada vez mayor por parte de legisladores y reguladores para que explique su falla de ciberseguridad y las medidas que está tomando para evitar otro ataque.

Un subcomité del Comité de Energía y Comercio de la Cámara de Representantes celebró una audiencia sobre la postura cibernética del sector de la salud el martes, y legisladores clave dijeron que estaban decepcionados de que UnitedHealth Group se negara a poner a un ejecutivo a disposición para testificar. Y el Departamento de Salud y Servicios Humanos está investigando si el hecho de que Change Healthcare no impidiera que los piratas informáticos accedieran a sus datos y los robaran violó las normas federales de seguridad de datos.

Actualizado el 16/04/2024 a las 5:38 pm ET: Se agregaron detalles adicionales sobre las empresas cuyos datos RansomHub afirma poseer.