RansomHub, una de las operaciones de ransomware más activas del último año, ha publicado hace unos días en su página de filtraciones de la dark web que ha logrado acceder a datos sensibles de la compañía española TopDoctors, que ofrece un buscador de médicos especialistas y permite pedir citas médicas online y disfrutar de telemedicina.
El grupo de ciberdelincuentes se jacta de haberse hecho con 40 GB y haber obtenido información de pacientes, detalles del seguro, datos personales y datos de pacientes en sus distintas filiales: España. Italia, México, Colombia, Chile, Argentina, Reino Unido, Arabia Saudí y EE.UU. Los actores de amenazas señalaban el pasado 22 de septiembre como fecha límite para el pago del rescate.
Desde Escudo Digital nos hemos puesto en contacto con TopDoctors para conocer su versión sobre lo sucedido. La compañía ha negado que se haya producido un incidente de ransomware, aunque reconoce que ha habido un acceso no autorizado.
"Queremos especificar que nuestros sistemas no han sido vulnerados, que no se ha podido acceder a ellos y que no se ha producido un ataque ransomware. Tras la investigación forense, los expertos concluyen que únicamente han podido acceder a una copia para pruebas de la base de datos de Latinoámerica, que se utilizaba para nuevos desarrollos y aplicaciones de la página web", ha explicado un portavoz de TopDoctors a este medio.
La empresa asegura que se trata de únicamente del 4% de su base de datos total y que estos detalles son anteriores al año 2023, entre los cuales habría principalmente datos públicos de doctores afiliados a las plataformas (como su web o email público de contacto) y algunos datos demográficos, de contacto (email y teléfono) y de servicios de cita solicitados por la web por pacientes de Chile y Argentina, principalmente, "que se mezclan con datos falsos de pacientes usados exclusivamente para pruebas".
Ahora mismo la compañía está evaluando el número exacto de pacientes y doctores afectados.
Desde TopDoctors también insisten en que en ningún caso hay informes médicos de pacientes y que la base de datos de Europa no ha sido afectada. "Por lo tanto, no hay datos relativos a ningún paciente ni médico europeo", apostillan.
Medidas realizadas
La empresa para buscar médicos online ha iniciado una investigación exhaustiva para la cual han contado con la empresa especializada en ciberseguridad Ackcent, con el fin de hacer un análisis forense del incidente. Hasta el momento no han hallado brechas en su infraestructura que expliquen el origen del ataque, más allá de la mencionada base de datos de prueba.
Pese a que los datos exfiltrados pertenecen a usuarios de Latinoamérica, TopDoctors afirma haber informado al INCIBE de que no había exfiltración.
Además, el portavoz de la firma asegura que han incrementado la monitorización de sus infraestructuras para detectar cualquier acceso no autorizado y prevenir futuros incidentes.
También revela que se han coordinado con las autoridades en los países afectados para asegurar el cumplimiento de las normativas de protección de datos y privacidad.
"Queremos asegurar a nuestros pacientes de Chile y Argentina que Top Doctors es seguro y que seguiremos trabajando para proteger su información", asevera la empresa. No obstante, les recomienda que se mantengan "vigilantes ante cualquier actividad sospechosa".
"Seguiremos trabajando para reforzar continuamente la seguridad de los datos de los pacientes que usan nuestras plataformas, implementado de manera continua nuevos sistemas de detección y a través de auditorías regulares y formación a todos los empleados sobre las buenas prácticas de ciberseguridad", ha concluído.
Un grupo peligroso
RansomHub ha atacado en lo que va de año a más de 200 organizaciones, con España entre sus principales puntos de mira. Así, el grupo también ha apuntado contra la firma medioambiental gallega Adantia.
A principios de septiembre varias agencias de ciberseguridad de EE.UU advertían sobre la peligrosidad esta pandilla de ransomware en un comunicado.
La banda se ha centrado en las víctimas de varios sectores, incluyendo el agua, las TIC, la atención médica, los servicios de emergencia, la agricultura, los servicios financieros, la manufactura, el transporte, las comunicaciones y el gobierno.
Casualidad o no, la aparición de RansomHub coincidió con el desmantelamiento de dos de los grupos más prolíficos que operan en este momento: AlphV (BlackCat) y Lockbit. Parece ser que RansomHub está fichando a afiliados de alto perfil provenientes de ambas bandas.