El Ministerio de Salud de India, atacado por hackers rusos

Los cibermalos han conseguido acceso a los datos de empleados y de los médicos directivos del servicio.

Alberto Payo

Periodista

Guardar

India
India

La página web del Ministerio de Salud de India ha sufrido un ciberataque y los actores de amenazas han conseguido acceder también a su Sistema de información de gestión de la salud (HMIS), según han informado investigadores de ciberseguridad de CloudSEK.

Parece que el grupo de piratas informáticos pro-ruso Phoenix fue el responable, accediendo también a los datos de los empleados y los médicos responsables de todo el país, explica la compañía de seguridad. 

La motivación principal de los cibermalos habría sido actuar en represalia de las sanciones impuestas contra la Federación Rusa por parte de India. 

El grupo mencionó el ataque como consecuencia del acuerdo de India sobre el tope del precio del petróleo y las sanciones del G-20 por la guerra entre Rusia y Ucrania.

Este fénix no descansa

El informe de CloudSEK recuerda que este grupo ha llevado a cabo distintos ataques DDoS contra "múltiples entidades" en el pasado, aunque su descubrimiento fue a principios de año.

Phoenix también ha estado involucrado en piratear hardware, desbloqueando iPhones perdidos o robados y revendiéndolos en Kiev y Kharkiv a través de una red de puntos de venta controlados. 

En su 'currículum' también se incluyen ataques a hospitales de Japón y Reino Unido o una organización de atención médica en EE.UU. que sirve al ejército americano. Además, también han amenazado sitios de citas LGTBI.

Phoenix se sirve generalmente de técnicas de ingeniería social para atraer a las víctimas a estafas de phising y hacerse con sus contraseñas, obteniendo acceso a las cuentas bancarias o pagos electrónicos de sus víctimas. 

En lo que compete a España, este colectivo fue el responsable de un ataque DDoS a la web del Ministerio de Asuntos Exteriores, Unión Europea y Cooperacíón. 

El Equipo Indio de Respuesta a Emergencias Informáticas (CERT-In) analizó el incidente y concluyó que fue causado por una segmentación de red incorrecta. 

CloudSEK teme que los ciberdelincuentes puedan vender documentos de licencia exfiltrados y PII en foros de piratería. Además, también advierte que pueden tratar de llevar a cabo fraude sirviéndose de la documentación obtenida.