10 oct 2024

Mayor rescate de ransomware conocido: U$S75 millones

En septiembre de 2024, Cencora Inc., una de las principales distribuidoras farmacéuticas del mundo, se convirtió en la víctima de un ciberataque perpetrado por el grupo de ransomware conocido como Dark Angels.

Este incidente ha encendido alarmas en la industria de la salud y ha puesto de relieve la creciente amenaza que los ciberataques representan para sectores críticos. El ataque resultó histórico con el pago de 75 millones de dólares en Bitcoin, marcando el mayor rescate registrado públicamente hasta la fecha en un caso de extorsión por ransomware.

En febrero de 2024, Cencora, anteriormente conocida como AmerisourceBergen, sufrió un ataque que comprometió una gran cantidad de datos personales y médicos, incluyendo diagnósticos, recetas y otra información sensible.

Tras el ataque, los delincuentes exigieron inicialmente 150 millones de dólares para liberar los sistemas de la empresa y evitar la publicación de los datos robados. Después de una negociación, la compañía acordó pagar 75 millones de dólares, divididos en tres transacciones realizadas en marzo.

Este pago superó el anterior récord de 40 millones de dólares pagados por CNA Financial en 2021 al grupo EvilCorp, lo que destaca el impacto creciente de los ciberataques en el sector de la salud. La industria médica es especialmente vulnerable debido al tipo de información que maneja y la urgencia de mantener operativos los sistemas críticos de atención sanitaria.

Dark Angels

El grupo de ciberdelincuentes responsable del ataque, Dark Angels, ha ganado notoriedad en los últimos años por sus ataques dirigidos a grandes corporaciones. Se cree que este grupo es una evolución de una anterior organización cibercriminal, y su enfoque se caracteriza por atacar empresas de sectores críticos, como la salud, la manufactura y el gobierno, donde el impacto de un ataque puede ser devastador. En este caso, Dark Angels utilizó ransomware, un tipo de software malicioso que bloquea el acceso a los sistemas hasta que se paga un rescate.

Dark Angels es una operación de ransomware lanzada en mayo de 2022 cuando comenzó a apuntar a empresas de todo el mundo. Como la mayoría de las bandas de ransomware operadas por humanos, los operadores de Dark Angels violan las redes corporativas y se mueven lateralmente hasta que finalmente obtienen acceso administrativo. Durante este tiempo, también roban datos de los servidores comprometidos, que luego utilizan como palanca adicional al solicitar un rescate.

Cuando obtienen acceso al controlador de dominio de Windows, los actores de amenazas implementan el ransomware para cifrar todos los dispositivos de la red.

Cuando los actores de amenazas lanzaron su operación, utilizaron cifrados de Windows y VMware ESXi basados ​​en el código fuente filtrado del ransomware Babuk. Sin embargo, con el tiempo, cambiaron a un cifrador de Linux que era el mismo que usaba Ragnar Locker desde 2021. Ragnar Locker fue interrumpido por las fuerzas del orden en 2023. Este cifrador de Linux se utilizó en un ataque de Dark Angels a Johnson Controls para cifrar los servidores VMware ESXi de la empresa. En este ataque, Dark Angels afirmó haber robado 27 TB de datos corporativos y exigió un pago de rescate de 51 millones de dólares

El ataque a Cencora y el pago del rescate de 75 millones de dólares subraya la creciente sofisticación de los ciberataques y plantea serias preocupaciones sobre la capacidad de las empresas para proteger sus sistemas.

Aunque Cencora logró restaurar sus operaciones, el incidente generó costos adicionales relacionados con la respuesta al ataque, incluyendo gastos legales y medidas de ciberseguridad para prevenir futuros incidentes.

Además, aunque Cencora ha afirmado que la información robada no ha sido divulgada públicamente, los expertos advierten que pagar un rescate no garantiza que los delincuentes cumplan con su palabra. Esto crea una mayor incertidumbre para las empresas afectadas y sus clientes, que siguen estando en riesgo de sufrir daños colaterales a largo plazo.

El sector de la salud ha sido uno de los más golpeados por el ransomware en los últimos años, debido a la riqueza de datos sensibles y la necesidad crítica de mantener la operatividad de sus sistemas. Los hospitales, clínicas y distribuidores de medicamentos como Cencora son objetivos frecuentes debido a la alta probabilidad de que paguen rescates para evitar interrupciones en el suministro de medicamentos y tratamientos esenciales.

Esta tendencia ha ido en aumento debido a varios factores clave que hacen que las compañías farmacéuticas sean particularmente vulnerables y atractivas para los ciberdelincuentes. Uno de ellos es la enorme cantidad de datos altamente sensibles, como investigaciones científicas, fórmulas de medicamentos, datos clínicos y propiedad intelectual. Además, debido a la naturaleza crítica de su trabajo, cualquier interrupción puede tener consecuencias graves, tanto en términos de impacto sanitario como financiero. Esto hace que las empresas puedan sentirse más presionadas a pagar el rescate para recuperar sus datos.

La industria farmacéutica depende de complejos sistemas de TI para gestionar la investigación y el desarrollo de medicamentos, la producción y la logística. Los ciberdelincuentes saben que, si logran paralizar estos sistemas, pueden causar graves interrupciones en la cadena de suministro y los procesos productivos, lo que les da una ventaja para exigir grandes sumas de dinero.

Regulaciones y cumplimiento

La industria farmacéutica está altamente regulada, lo que significa que cualquier brecha de seguridad puede llevar a sanciones financieras, pérdidas de reputación y la necesidad de cumplir con normativas estrictas, como la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA, en EE. UU.) o el Reglamento General de Protección de Datos (GDPR, en Europa). Esto añade una presión adicional a la hora de decidir si pagar o no un rescate.

El caso de Cencora destaca la necesidad urgente de mejorar las defensas cibernéticas en este sector. Las inversiones en ciberseguridad deben aumentar, y las empresas de salud deben prepararse para enfrentar estos tipos de amenazas que no solo interrumpen las operaciones, sino que también ponen en peligro la vida de los pacientes al comprometer la privacidad de su información médica.

El ataque a Cencora marca un punto de inflexión en la escalada de los ciberataques, no solo por la cantidad récord del rescate, sino por lo que implica para la seguridad de los sectores críticos. La creciente frecuencia de estos incidentes obliga a las empresas, especialmente en la industria de la salud, a reforzar sus defensas y a considerar medidas preventivas más robustas.

Fuente: Bitlifemedia

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!