Ransom House, el grupo de ciberdelincuentes detrás del ciberataque de ransomware que sufrió el pasado domingo el Hospital Clínic de Barcelona y que sigue causando estragos en el centro sanitario, ha reclamado un rescate de 4 millones y medio de dólares a cambio de devolver los datos que sustrajeron y de no hacerlos públicos o revenderlos a terceros.
Así se ha conocido este mismo viernes en una rueda de prensa conjunta ofrecida por el director de la Agencia de Ciberseguridad de Cataluña, Tomàs Roy, el secretario de Telecomunicaciones y Transformación Digital de la Generalitat, Sergi Marcén, el jefe de investigación criminal de los Mossos d'Esquadra, Ramón Chacón, y el director médico del Clínic, Antoni Castells.
Esta información supone la confirmación de las declaraciones que hizo ayer el propio Marcén en una entrevista para Catalunya Ràdio en la que reveló que Ransom House se había puesto en contacto con la Generalitat a través de mensajes privados en los que exigieron dinero para restablecer el sistema informático del hospital, aunque no especificó la cantidad solicitada. Lo que sí dejó claro es que en ningún caso se plantean ceder al chantaje, una decisión que hoy ha vuelto a reiterar. "No hay ningún tipo de negociación, el Govern no pagará ni un céntimo", ha remarcado.
Marcén también ha reconocido, al igual que hizo ayer, que todavía están tratando de averiguar el alcance del ciberataque y que los hackers han logrado robar "algunos datos", aunque ha afirmado que por el momento desconocen qué tipo de datos consiguieron obtener. En este sentido, este pasado miércoles informamos que los ciberdelincuentes podrían haberse apoderado de información de ensayos clínicos del Clínic sobre cáncer y enfermedades autoinmunes, áreas en las que el centro es puntero, según adelantó El Periódico.
De acuerdo a este diario, se teme que Ransom House pueda vender esa información a terceros, por ejemplo a empresas farmacéuticas, algo que los Mossos están tratando de evitar. Además, señala que fuentes internas del hospital han asegurado que los hackers habrían accedido a datos de los pacientes del centro y a las nóminas y datos fiscales de sus trabajadores.
Riesgo de filtración de datos
Si bien nunca se deben pagar los rescates de ransomware, puesto que fomentan el negocio de los ciberdelincuentes sin garantizar la recuperación del acceso a los datos e incluso conllevan más ataques, Marcén ha señalado que su negativa a hacerlo implica una "probabilidad elevada" de filtración de datos.
Según ha explicado el jefe de Investigación Criminal de la policía autonómica catalana, Ramón Chacón, y recoge EFE, los piratas informáticos de Ransom House practican una "doble extorsión" porque primero bloquean el sistema y piden dinero y, si no cobran –como será este caso-, amenazan con publicar los datos o venderlos a terceros, de manera que el objetivo que persiguen estos atacantes es "obtener un beneficio".
Para combatir el riesgo a la filtración, los Mossos van a vigilar la red realizando un "ciberpatrullaje" y, en el caso de que se produjera, tratarían inmediatamente de eliminarla. Paralelamente, la policía intentará identificar y detener a los autores del ciberataque, aunque Chacón ha admitido que es "complicado" porque "saltan de país en país".
Por su parte, el director general de la Agencia de Ciberseguridad de Cataluña, Tomàs Roy, ha subrayado que el hospital "no ha perdido ningún dato", aunque los atacantes hayan tenido acceso a sus sistemas, apunta la agencia.
Aviso a la ciudadanía
Siguiendo la información de EFE, Roy también ha aprovechado su intervención para pedir a la ciudadanía que haga caso omiso a cualquier SMS o correo electrónico del Clínic o de otros servicios que pida datos personales supuestamente perdidos y que tampoco abran los links que puedan contener estas comunicaciones. Y es que, al poder disponer de información de los pacientes, los engaños de los hackers pueden llegar a ser muy personalizados.
Las claves de Ransom House
La atribución del ciberataque contra el Hospital Clínic de Barcelona a Ransom House ha colocado a este grupo de ciberdelincuentes en el foco de la noticia en nuestro país y Marc Rivero, analista en ciberseguridad de Kaspersky ha arrojado luz sobre el mismo.
En unas declaraciones remitidas a Escudo Digital, Rivero ha señalado que se trata de "una organización a gran escala especializada en la exfiltración de datos, es decir, en extraer datos de las compañías y luego venderlos o comercializar con ellos pidiendo un rescate a las organizaciones afectadas para recuperar sus datos", tal y como ha sucedido en el caso del Clínic con la exigencia de un rescate a la Generalitat de 4,5 millones de dólares.
"Este grupo trabaja con criptomonedas difíciles de rastrear, aunque no imposible. Los pagos en bitcoin permiten realizar un seguimiento, si bien los ciberdelincuentes pueden utilizar medios opacos dentro de la red Bitcoin para dificultar el rastreo", ha explicado Rivero.
El experto en ciberseguridad también ha advertido que Ransom House no se dedica únicamente a los ataques de ransomware. "También ofrece una plataforma de colaboración a otros grupos aliados para realizar ataques combinados". Además, ha resaltado que cuentan con "una capacidad ofensiva muy grande, ya que son equipos con alta especialización en técnicas de hacking por lo que, obviamente, aunque instituciones y empresas tengan una ciberseguridad madura, pueden perfectamente ser objeto de un ataque".
Pese a que por el momento se desconoce cómo ha ejecutado su ciberataque contra el Clínic, Rivero ha apuntado que "estos grupos son expertos en atacar versiones de software que están desactualizadas y en utilizar afinados ataques de phishing —engañar a una víctima haciéndose pasar por una persona, empresa o servicio de confianza— para poder comprometer cuentas de usuarios".
Finalmente, con el fin de protegerse frente a este tipo de ransomware, el analista de Kaspersky ha recordado la importancia de concienciar tanto a los usuarios como a los trabajadores para que estén al tanto del panorama de ciberamenazas actual. Asimismo, ha destacado que también es fundamental "tener alianzas con un partner estratégico en ciberseguridad, para proteger los sistemas, y disponer de análisis de inteligencia, para ver cuáles son los riesgos a los que cada organización se enfrenta y cómo ponerles remedio".
El impacto del ciberataque para el Clínic
Tras el ciberataque del pasado domingo, EFE sostiene que el Clínic ha recuperado el 90% de actividad quirúrgica compleja, 40% de la menos compleja, el 70% de consultas externas, y los códigos ictus y de infarto, pero que aún no puede hacer radioterapia.
En esta línea y de acuerdo a la agencia, el director médico del centro sanitario barcelonés, Antoni Castells, ha expresado en la rueda de prensa de este viernes que confía en que a principios de la próxima semana, entre el lunes y el martes, se pueda reanudar el servicio de radioterapia y se recupere el acceso universal a las historias clínicas compartidas, de forma que ya se podría "trabajar con normalidad" tanto en el hospital como en los tres centros de atención primaria que cogestiona –Borrell, Casanova y Les Corts.
"Castells ha detallado el impacto del ataque en la actividad asistencial de esta semana, en la que se han dejado de hacer 4.000 analíticas ambulatorias, 300 intervenciones, 11.000 visitas a consultas externas y ninguna sesión de radioterapia, si bien 25 pacientes han seguido el tratamiento en el Hospital de Sant Pau y 10 en Vall d'Hebron", agrega EFE.