Noticias

Quién es RansomHouse, el grupo detrás del ciberataque al Hospital Clínic de Barcelona

By 07/03/2023 No Comments

El hospital ha sido atacado por un grupo de ‘hackers’ que secuestra y roba datos para pedir un rescate por ellos. Si no se paga, esa información puede acabar publicada en su web

“No es un ataque que ha venido del Estado español, viene de fuera de España”. Así han explicado los responsables del Hospital Clínic de Barcelona lo ocurrido con el ransomware que paralizó parte de la actividad del hospital el pasado domingo. Por ahora, se desconoce cuándo podrán volver a la normalidad, aunque ya se ha apuntado a quién está detrás de este ciberataque, un grupo conocido como RansomHouse, que lleva actuando desde finales de 2021.

 

El director de la Agencia de Ciberseguridad de Cataluña, Tomàs Roy, ha destacado que es un “ataque complejo, que no sigue el modus operandi clásico y que incluye técnicas nuevas”, por lo que aún están estudiando el alcance de los daños, en colaboración con los Mossos d’Esquadra y la Interpol. De este modo, se habría producido una encriptación de la información y, al mismo tiempo, una filtración de datos, que no han sido detallados.

Hasta ahora, el modelo de RansomHouse ha pasado por el robo de datos aprovechando vulnerabilidades en los sistemas internos de una organización. “Creemos que los culpables no son los que encontraron la vulnerabilidad o ejecutaron el jaqueo, sino los que no cuidaron debidamente la seguridad. Los culpables son los que no pusieron candado a la puerta, dejándola abierta de par en par e invitando a todos a entrar”, asegura este grupo de ransomware en su página, de acuerdo con Bleeping Computer.

Una vez han conseguido los datos, el modus operandi del ransomware consiste en negociar un pago para recuperarse del ciberataque. En caso de que la víctima no pague, esa información solía quedarse encriptada (e inaccesible), una operativa que ha cambiado en el último año para añadir una forma de extorsión adicional y que habría sido asumida por RansomHouse. Así, ahora los atacantes aprovechan para tratar de vender esos datos y, si no lo consiguen, los publican en su propia web, una forma de extorsión adicional.

 

Es algo que ha hecho que muchos sospechen que se trata de “hackers de sombrero blanco”, que no son otra cosa que aquellos que tratan de explorar los fallos de seguridad para demostrar que una empresa tiene problemas (o que no invierten lo suficiente en esta materia). Lo habitual es que sean contratados por las propias empresas para protegerse, pero en este caso podría tratarse de expertos descontentos con el sector.

placeholderFoto: EFE/Ritchie B. Tongo.
Foto: EFE/Ritchie B. Tongo.

“Según RansomHouse, muchas empresas no están dispuestas a invertir tanto dinero como se requiere para fortificar sus infraestructuras, mientras que ignoran o no instituyen suficientes planes de recompensas por fallos”, explicaba un informe de la firma de ciberseguridad CyberInt el pasado mayo. “Muchos de los miembros de la comunidad de cazadores de bugs llevan tiempo quejándose de las empresas que no quieren pagarles lo suficiente por su duro trabajo mientras siguen disfrutando de sus frutos”. En este sentido, esta investigación también destacaba que, una vez se paga el rescate, RansomHouse “ayuda a las empresas a protegerse de futuros ataques” y “asegurar borrar cualquier información robada”.

 

Hasta el momento, el Clínic asegura que el grupo de atacantes no se han puesto en contacto con ellos, pero han asegurado que “no se pagará ni un céntimo” por el rescate. En España, el Código Penal prohíbe directamente favorecer la “fundación, organización o actividad” de bandas criminales mediante su “cooperación económica”. Sin embargo, tal y como explicaron fuentes del sector a El Confidencial, consultores independientes y aseguradoras ofrecen estos servicios de manera extraoficial para evitar problemas. “Ninguna empresa admitirá haber pagado un rescate, pero la verdad es que lo hacen casi cada día”, comentaba entonces un especialista en ciberseguridad de forma anónima.

La historia del jaqueo

Sobre las 11:17 del domingo, el hospital notificó al Catalonia CERT de la Agencia de Ciberseguridad de Cataluña que había sufrido un ciberataque de tipo ransomware y a las 11:30 se inició el despliegue para dar respuesta al incidente. El ciberataque ha afectado a los servicios de laboratorio, farmacia y urgencias.

 

Como consecuencia, a lo largo del lunes se mantendrá toda la actividad urgente y de hospitalización de todas las sedes del Clínic —Villarroel, Plató y Maternitat—, así como la hospitalización domiciliaria, los hospitales de día, el servicio de radiología, las pruebas endoscópicas, las exploraciones radiológicas, la diálisis y la farmacia ambulatoria.

En cambio, el ataque informático ha obligado al aplazamiento este lunes de 150 cirugías no urgentes, entre 2.000 y 3.000 consultas externas y unas 400 extracciones de sangre (solo se cancelan las programadas, no las que se requieran en procedimientos de urgencias), mientras que hay problemas también para hacer radioterapia y se han tenido que aplazar las sesiones de radioterapia oncológica programadas.

 

Además, desde este domingo, el Clínic sigue atendiendo las urgencias, pero todo se hace “con papel”, lo que ralentiza los procesos y ha obligado a reforzar las dotaciones de personal administrativo.

Fuente: https://www.elconfidencial.com/tecnologia/2023-03-06/ciberataque-hospital-clinic-barcelona-ransomhouse_3587457/