Dos cirujanos plásticos fueron atacados por el grupo de ransomware Maze, exigen una suma muy alta.
Antilavadodedienro / Cointelegraph.com
Un grupo de ciberdelincuentes recientemente hackearon a dos estudios quirúrgicos con ‘ransomware’. Luego de esto filtraron los números de seguro social (SSN por sus siglas en inglés) de varios pacientes junto a otros datos delicados.
Brett Callow, analista de amenazas de Emsisoft, le contó a Cointelegraph el 5 de mayo que Maze recientemente admitió haber hackeado a un cirujano plástico llamado Kristin Tarbet. También dice haber hackeado el Instituto de Cirugía Plástica de Ashville. Explicó que en el caso de Tarbet, los hackers ya habían filtrado datos muy delicados:
“La información que se ha filtrado incluye nombres, direcciones, SSN, así como también lo que parecen ser fotos de antes/después tomadas durante procesos quirúrgicos. Los delincuentes del grupo de Maze usualmente comienzan posteando un pequeño número de datos que tienen para filtrar — es el equivalente a un secuestrador enviando un dedo meñique — así que seguramente tienen mucha más información de la que han publicado hasta ahora”.
Callow explicó que muchos incidentes de ransomware son causados por fallas básicas de seguridad. Estas incluyen credenciales fáciles de descifrar o sistemas de acceso remoto sin protección. Dijo que todas las empresas deberían enfocarse más en la ciberseguridad ya que “Maze usa una combinación de estrategias para obtener acceso a redes incluyendo protocolos de escritorio remoto (RDP), explotación, phishing y spear-phishing”
Cuando se trata de hackers pidiendo rescate, dice que no hay cómo saber qué esperar pero los ataques anteriores sirven como guía:
“Solo los hackers y el cirujano plástico van a saber cuánto dinero piden. En casos anteriores, Maze dijo que el rescate fue de 2 millones de dólares: 1 millón por haber descifrado la información de la víctima y 1 millón para destruir la copia de ello”
Más datos por filtrar
En el caso del Instituto de Cirugía Plástica de Ashville, la información publicada incluyó nombres de los pacientes, fechas de nacimiento, detalles del seguro médico, formularios de ordenes de implantes, fotos antes/después, y otros documentos internos como estados de cuenta. Callow explicó:
“Este filtrado de datos es simplemente una advertencia. Si la empresa no paga, más información podría ser publicada”
Callow dice que esta no es la primera vez que un grupo ataca a dos objetivos en la misma industria. Detalló que las víctimas de Maze usualmente residen en la misma ubicación geográfica o puede que operen en la misma industria. Maze afirmó que hay una razón detrás de esas manera de actuar:
“No necesitamos usar ataques de phishing y poco a poco moverse de un objetivo al otro, ya que tenemos acceso al proveedor de hospedaje”
De encriptar datos a robarlos: la evolución del ransomware
En meses recientes, los grupos que operan con Ransomware han amenazado con filtrar información personal de la víctima si no les pagan. Hubo un tiempo que estos grupos de delincuentes solo robaban la información y pedían como rescate el recuperar el acceso a la misma. Como reportó Cointelegraph a finales de abril, un grupo de ciberdelincuentes publicó información personal y financiera de la ciudad californiana Torrance y amenazó con filtrar 200 gigabytes más luego de que los oficiales de la ciudad negaran que alguna información fue robada.
A mediados de abril, el primer gran grupo de ransomware, “REvil”, también anunció que planean cambiarse de Bitcoin (BTC) a la criptomoneda alternativa Monero (XMR). En ese momento Callow dijo:
“Como otros negocios, los grupos delictivos adoptan estrategias que se ha demostrado que funcionan, y en consecuencia, si este cambio es exitoso para REvil, esperamos ver que otros comiencen a experimentar con rescates en otras monedas diferentes al bitcoin”.