Las autoridades de diversos países, incluyendo Japón, están tratando de que los organismos e instituciones públicas y privadas no cedan al chantaje de los ciberdelincuentes y nunca pasen por caja ante un ataque de ransomware. Sin embargo, no siempre lo consiguen.
El Hospital Handa, ubicado en la ciudad de Tsurugi, en la prefectura de Tokushima negó por activa y por pasiva haber dado dinero a los cibermalos tras sufrir un ataque de ransomware, pero estos aseguran que sí que se llevaron un buen botín.
El incidente se produjo justo hace un año, el 31 octubre de 2021, causando una gran interrupción en las operaciones de la institución médica. En aquel momento indicaron que no iban a pagar por el rescate y que construirían un nuevo sistema de registro médico que costaría unos 200 millones de yenes.
Sin embargo, en enero recuperaron el acceso al sistema original, lo que les evitó tener que construir otro. También reanudaron su actividad de exámenes médicos regulares después de sufrir interrupciones durante dos meses.
Los expertos sospechan que una empresa de TI involucrada en los intentos de reestablecer el acceso a los registros llegó a un acuerdo en secreto con los hackers. Un panel que investigó el caso concluyó en un informe el pasado mes de junio que era muy probable que este operador comercial hubiera obtenido un programa de restauración de datos hablando con los actores de amenazas.
La firma se ha negado a comentar sobre el caso, citando un acuerdo de confidencialidad, pero ha revelado que generalmente no negocia directamente con grupos de piratas informáticos. Puede usar programas de restauración de datos, eso sí.
Los atacantes pertenecían nada más y nada menos que al famoso grupo de ransomware LockBit 3.0. Uno de sus miembros afirma que recibió el pago de un bitcoin el 21 de noviembre de 2021 tras mantener conversaciones con un representante del hospital mediante un sitio web especial.
El grupo de cibermalos exigía originalmente 60.000 dólares, pero las negociaciones hicieron que la cantidad bajara a la mitad. Lo cierto es que es una cifra relativamente pequeña, teniendo en cuenta que el hospital había desembolsado 70 millones de yenes (unos 472.000 dólares más o menos) a una empresa de TI de Tokio para investigar el ataque e intentar restaurar los datos cifrados.
No hay garantía de solución
El alcalde de Tsurugi, Shigeru Kanenishi, asegura que tal y como entienden "la ciudad no ha pagado el dinero del rescate".
Un funcionario de la Agencia Nacional de Policía con responsabilidad en materia de ciberataques ha recordado que el pago de rescates ante ataques de ransomware "no solo promueve el delito cibernético, sino que no hay garantía de que los datos se restaurarán incluso después de realizar los pagos".
Japón está siendo cada vez un objetivo más recurrente para los grupos de ransomware. El mes pasado la citada agencia contabilizó 114 ataques de este tipo a empresas y organismos del país, con 59 de ellos dirigidos a pymes y 36 a grandes corporaciones. Se incluían 37 fabricantes, 20 proveedores de servicios y cinco hospitales.