febrero 26, 2024

Los ataques de ransomware han entrado en una nueva fase atroz

fila de casilleros

Don Farrall/Getty Images

En febrero, los atacantes del grupo de ransomware BlackCat con sede en Rusia atacaron el consultorio de un médico en el condado de Lackawanna, Pensilvania, que forma parte de la red de salud de Lehigh Valley (LVHN). En ese momento, LVHN dijo que el ataque “involucró” un sistema de fotografía de pacientes relacionado con el tratamiento de oncología radioterápica. El grupo de atención médica dijo que BlackCat había emitido una nota de rescate, “pero LVHN se ha negado a pagar por esta empresa criminal”.

Después de un par de semanas, BlackCat amenazó con publicar los datos robados del sistema. “Nuestro blog está cubierto por muchos medios de comunicación mundiales, el caso será ampliamente publicitado y causará un daño significativo a su negocio”, escribió BlackCat en su sitio de extorsión en la dark web. “Te estas quedando sin tiempo. ¡Estamos listos para desatar todo nuestro poder sobre ti!” Luego, los atacantes publicaron tres capturas de pantalla de pacientes con cáncer que se sometían a un tratamiento de radiación y siete documentos que incluían información del paciente.

Las fotografías médicas son explícitas e íntimas y muestran los senos desnudos de las pacientes en varios ángulos y posiciones. Y si bien los hospitales y las instalaciones de atención médica han sido durante mucho tiempo un objetivo favorito de las pandillas de ransomware, los investigadores dicen que la situación en LVHN podría indicar un cambio en la desesperación de los atacantes y su disposición a llegar a extremos despiadados a medida que los objetivos de ransomware se niegan cada vez más a pagar.

“A medida que cada vez menos víctimas pagan el rescate, los actores de ransomware se vuelven más agresivos en sus técnicas de extorsión”, dice Allan Liska, analista de la firma de seguridad Recorded Future, que se especializa en ransomware. “Creo que veremos más de eso. Sigue de cerca los patrones en los casos de secuestro, donde cuando las familias de las víctimas se niegan a pagar, los secuestradores pueden enviar una oreja u otra parte del cuerpo de la víctima.

Los investigadores dicen que otro ejemplo de estas escaladas brutales ocurrió el martes cuando la pandilla emergente de ransomware Medusa publicó datos de muestra robados de las escuelas públicas de Minneapolis en un ataque de febrero que vino con una demanda de rescate de $ 1 millón de dólares. Las capturas de pantalla filtradas incluyen escaneos de notas escritas a mano que describen acusaciones de agresión sexual y los nombres de un estudiante y dos estudiantes involucradas en el incidente.

“Tenga en cuenta que MPS no ha pagado un rescate”, dijo el distrito escolar de Minnesota en un comunicado a principios de marzo. El distrito escolar inscribe a más de 36,000 estudiantes, pero los datos aparentemente contienen registros de estudiantes, personal y padres que datan de 1995. La semana pasada, Medusa publicó un video de 50 minutos en el que los atacantes parecían desplazarse y revisar todos los datos que tenían. robaron de la escuela, una técnica inusual para publicar exactamente qué información tienen actualmente. Medusa ofrece tres botones en su sitio web oscuro, uno para que cualquiera pague $ 1 millón para comprar los datos MPS robados, uno para que el distrito escolar pague el rescate y elimine los datos robados, y otro para pagar $ 50,000 para extender el plazo de canje dentro de un día.

“Lo que es notable aquí, creo, es que en el pasado, las pandillas siempre han tenido que lograr un equilibrio entre hacer que sus víctimas paguen y no hacer cosas tan atroces, terribles y malvadas que las víctimas no quieren tener nada que ver con ellos”. ”, dice Brett Callow, analista de amenazas de la empresa de antivirus Emsisoft. “Pero debido a que los objetivos no pagan con tanta frecuencia, las pandillas ahora presionan más. Es mala publicidad sufrir un ataque de ransomware, pero no tanto como solía ser, y es muy mala publicidad ser visto pagando a una organización que hace cosas terribles y atroces.

La presión pública ciertamente está aumentando. En respuesta a las fotos de pacientes filtradas esta semana, por ejemplo, LVHN dijo en un comunicado: “Este acto criminal irrazonable se aprovecha de los pacientes que reciben tratamiento contra el cáncer, y LVHN condena este comportamiento despreciable”.

El Centro de Quejas de Delitos en Internet (IC3) del FBI dijo esta semana en su Informe anual de Delitos en Internet que recibió 2.385 informes de ataques de ransomware en 2022, por un total de 34,3 millones de dólares en pérdidas. Las cifras han bajado de 3729 denuncias de ransomware y $ 49 millones en pérdidas totales en 2021. “Ha sido difícil para el FBI determinar el número real de víctimas de ransomware ya que muchas infecciones no se informan a las fuerzas del orden”, señala el informe.

Pero el informe pide específicamente conductas de extorsión más agresivas y en evolución. “En 2022, IC3 vio un aumento en otra táctica de extorsión utilizada para facilitar el ransomware”, escribió el FBI. “Los actores de amenazas presionan a las víctimas para que paguen amenazando con liberar los datos robados si no pagan el rescate”.

En cierto sentido, el cambio es una señal positiva de que los esfuerzos para combatir el ransomware están funcionando. Si suficientes organizaciones tienen los recursos y las herramientas para resistir los pagos de rescate, es posible que los atacantes finalmente no puedan generar los ingresos que desean e, idealmente, abandonen el ransomware por completo. Pero eso hace que este cambio a tácticas más agresivas sea un momento precario.

“Realmente nunca antes habíamos visto algo así. Los grupos hicieron cosas desagradables, pero el objetivo eran los adultos, no los pacientes con cáncer ni los niños en edad escolar”, dice Callow de Emsisoft. “Espero que estas tácticas los muerdan en el trasero y las empresas digan que no, que no se nos puede ver financiando una organización que hace estas cosas atroces. Esta es mi esperanza de todos modos. Queda por ver si reaccionarán de esta manera”.

Esta historia apareció originalmente en wired.com.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *