El servicio nacional de salud de Irlanda afectado por un ataque del ransomware Conti

 El servicio nacional de salud de Irlanda, Health Service Executive, ha cerrado hoy, de forma temporal, sus sistemas informáticos después de ser víctima de un ataque de ransomware. En medio de la campaña de vacunación contra el COVID-19, la organización reconoce que el ataque no ha afectado a su capacidad para brindar atención médica urgente, pero que puede que haya algunos retrasos y/o cancelaciones en citas y servicios rutinarios. No es la primera vez que un Hospital es afectado por un ataque de ransomware, aunque algunos grupos de ransomware decidieron no atacarlos durante la pandemia, no todos lo han hecho igual.

La autoridad Sanitaria en Irlanda (HSE) informó este viernes de que ha cerrado su sistema informático a raíz de un "ataque significativo de secuestro de datos". La organización, que se encuentra en medio de su programa de vacunación COVID-19, dijo que el ataque no afectó su capacidad para brindar atención médica urgente, pero que algunos controles y servicios de rutina podrían retrasarse o cancelarse.

Ya en 2017 se produjeron ataques a hospitales de WannaCry-WannaCryptor, de hecho afectó simultáneamente a ordenadores y teléfonos de al menos 16 hospitales y centros de salud de Londres, Nottingham, Herefordshire, Blackburn y Cumbria, según el Servicio Nacional de Salud británico (NHS por sus siglas en inglés)

Un ciberataque obliga a Irlanda a cerrar su sistema informático sanitario

Fergal Malone, director del Dublin Rotunda Hospital, reconoce a RTE en una entrevista que el ataque ha afectado a la capacidad de su personal para acceder a los sistemas en línea y los registros electrónicos de los pacientes.

Parece que el ataque fue descubierto ayer por la noche, cuando determinadas aplicaciones y bases de datos se volvieron innacesible para el personal. Esta mañana, cuando se han incorporado a su turno nuevos trabajadores, se les ha avisado de que no encendiesen (o apagasen en caso de haberlos encendido) los sistemas y que los dejaran desconectados.

En una nota colgada en Twitter, la HSE señaló que ha tomado la decisión de cerrar el sistema como medida de "precaución", si bien aclaró que esto no afecta a las vacunaciones contra la covid-19 previstas para la jornada de este viernes.

"Hemos tomado la precaución de cerrar todos nuestros sistemas informáticos a fin de protegerlos de este ataque y permitir una plena evaluación de la situación", agregó la Sanidad. 

"Nos disculpamos por la molestia causada a los pacientes y a la gente y facilitaremos más información cuando esté disponible. las vacunaciones no quedan afectadas y prosiguen como estaba planeado", indicó la Sanidad irlandesa.

El hospital de maternidad Rotunda, de Dublín, se vio obligado a cancelar las citas médicas de hoy por este incidente.

"Debido a un grave problema informático, todas las citas quedan canceladas para hoy", señaló ese hospital en su cuenta de Twitter.  

El HSE describió el incidente de ransomware como "significativo" y "operado por humanos", un término utilizado para describir a los grupos sofisticados de ransomware de alto nivel que organizan ataques dirigidos contra organizaciones cuidadosamente grandes.

En un programa de radio matutino con la emisora ​​pública RTE, el director ejecutivo de HSE, Paul Reid, dijo que los equipos de TI de la agencia están investigando el incidente para averiguar su alcance.

En un programa de radio diferente, Reid identificó a la banda de ransomware detrás del ataque como Conti, una banda de ransomware que comenzó a operar en el verano de 2020.

Fergal Malone, director del Dublin Rotunda Hospital, dijo a RTE en una entrevista diferente que el ataque afectó la capacidad de su personal para acceder a los sistemas en línea y los registros electrónicos de los pacientes.

HSE dijo que su programa de vacunación COVID-19 sigue en marcha, ya que se ejecuta desde un sistema diferente. La organización prometió compartir más detalles sobre el ataque a través de sus canales oficiales, a medida que conozcan más.

La noticia del ataque se produce después de que la semana pasada una banda de ransomware logró interrumpir el suministro de combustible en toda la costa este de los EE. UU. A través de su ataque a Colonial Pipeline. El ataque llevó a la Casa Blanca y a las principales instituciones estadounidenses a buscar medidas enérgicas contra las bandas de ransomware que llevan a cabo ataques disruptivos.

A raíz del ataque colonial, XSS, uno de los foros Rusos donde los grupos de ransomware a menudo van para anunciar sus ofertas, anunció la prohibición de los anuncios de ransomware en el futuro, en un intento de distanciarse de los grupos de ransomware, actualmente parias de Internet. 

Tenemos muy claro que no vamos a pagar ningún rescate ni a participar en nada de eso

El ministro de Sanidad, Stephen Donelly, dijo que, aunque el ataque es importante, los servicios de emergencia siguen funcionando con normalidad y que el programa de vacunación COVID-19 no se ha visto afectado.

HSE no pagará el rescate de 20 millones de dólares de Conti

Después del incidente del ransomware HSE, la pandilla Conti afirmó haber tenido acceso a la red de HSE durante más de dos semanas y que pudieron robar 700 GB de archivos no cifrados, incluida información de empleados y pacientes, estados financieros, nómina, contratos y más.

También dijeron que HSE tendría que pagar un rescate de $ 19,999,000 para que Conti elimine todos los datos robados de sus servidores y proporcione un descifrador.

A pesar de que el incidente ha provocado una interrupción generalizada que afecta a los servicios de salud de Irlanda, Taoiseach Micheál Martin, el primer ministro de Irlanda, dijo que el HSE no pagaría ningún rescate.

Conti ransomware es una operación privada de Ransomware-as-a-Service (RaaS) que se cree que es ejecutada por un grupo de ciberdelincuencia con sede en Rusia conocido como Wizard Spider.

Conti comparte código con el notorio Ryuk Ransomware, cuyos canales de distribución impulsados ​​por TrickBot se hicieron cargo después de que la actividad de Ryuk disminuyó alrededor de julio de 2020.

Anteriormente, el ransomware Conti llegó a la Agencia de Protección Ambiental de Escocia (SEPA), y filtró aproximadamente 1,2 GB de datos robados en su sitio de filtración en la web oscura.

Ransomware Conti

Conti apuntó anteriormente a la Agencia de Protección Ambiental de Escocia, aunque ese ataque de enero dejó a los delincuentes con las manos vacías después de que la SEPA, sabiamente, decidiera no pagar. Los mismos delincuentes estuvieron detrás del compromiso del minorista de ropa británico Fatface, robando con éxito datos personales y detalles de tarjetas de pago en el proceso.

William Thomas, un investigador de la firma de seguridad informática Cyjax, dijo a The Register: "Conti es una cepa de ransomware operada por humanos vinculada a una banda de ciberdelincuentes rastreada por la industria privada como WizardSpider. Ha filtrado el mayor número de víctimas a su muro de la vergüenza de la red oscura. , en 339 según mi recuento.

Sus conexiones con el ransomware Ryuk también son importantes, ya que también ha ido tras hospitales en los EE. UU. Y Francia. El vector de acceso inicial típico de Conti es a través de campañas de spam maliciosas que empujan a BazarLoader o Trickbot; Cobalt Strike sigue siendo la herramienta preferida de los operadores de ransomware ".

El resumen de Crowdstrike de WizardSpider clasifica a la pandilla como "basada en Rusia" y en su mayoría "oportunista" en sus objetivos. La actividad de los delincuentes fue "esporádica durante la primera mitad de 2020", pero aumentó después de que comenzaron a usar Conti, y Crowdstrike dijo: "Las víctimas de Conti abarcan múltiples sectores y geografías, la gran mayoría de las cuales tienen su sede en América del Norte y Europa".

Sophos reconoce que el malware Conti se implementa mediante el uso (ab) de Cobalt Strike, y el análisis detallado de la compañía destaca que los operadores de Conti utilizan el modelo comercial de ransomware de doble extorsión: cifrar la red objetivo después de exfiltrar datos y exigir un rescate tanto por la utilidad de descifrado. y para "prevenir" la publicación de los datos. Evidentemente, nadie puede garantizar que los delincuentes cumplan sus promesas.

Los ataques de ransomware a las organizaciones sanitarias se han convertido poco a poco en la norma. Cuando la pandemia de COVID-19 se apoderó de todo el mundo en marzo de 2020, un puñado de prominentes bandas extorsionistas prometieron no atacar hospitales e institutos de investigación médica.

Fuentes:

https://derechodelared.com/servicio-nacional-de-salud-de-irlanda-ataque/

https://heraldo.es/noticias/internacional/2021/05/14/un-ciberataque-obliga-a-irlanda-a-cerrar-su-sistema-informatico-sanitario-1492042.html

https://www.theregister.com/2021/05/14/ireland_hse_ransomware_hospital_conti_wizardspider/