De nuevo el sector de la salud vuelve a ser víctima de los cibedelincuentes y del ransomware, aunque este incidente, lejos de ser uno más, puede marcar un récord por el alto número de centros sanitarios afectados.
En esta ocasión los cibermalos se han cebado con los hospitales rumanos. El pasado fin de semana un actor de amenazas atacó el Hipocrate Information System (HIT) y lo dejó offline. Este sistema de atención médica está muy generalizado en el país.
La variante de ransomware usada fue Backmydata, la cual bloqueó los datos pertenecientes a 26 hospitales en todo el territorio.
La Dirección Nacional de Ciberseguridad (DNSC) de Rumanía ha compartido que los actores de amenazas en primer lugar cifraron los datos de un hospital infantil el pasado sábado 10 de febrero y atacaron el resto de instalaciones entre el 11 y el 12 de febrero.
Además, DNSC ha revelado que otros 74 centros de atención médica conectados al sistema HIS se han quedado sin acceso a Internet, mientras los investigadores tratan de dilucidar si también se han visto afectados por la infracción.
Asi, los centros que han sufrido el impacto del ataque se han visto obligados a hacer todos los procesos a la manera antigua, con lápiz y papel. Tanto los registros, como la entrega de análisis y pruebas, que se están imprimiendo.
El organismo ha pedido a todos los hospitales que aíslen los sistemas afectados, guarden las notas de rescate y los registros, investiguen estos para identificar el punto de entrada, mantengan los sistemas afectados encendidos para que se pueda recuperar la evidencia de la memoria y los restauren mediante copias se seguridad.
Además, les han recordado que comprueben que todas las aplicaciones y sistemas operativos están actualizados e informen a todas las partes relevantes sobre el incidente.
Qué es Backmydata
Según recoge SecurityWeek, la variante de ransomware Backmydata pertenece a la familia Phobos, que suele infectar sistemas explotando fallas en los servicios del Protocolo de escritorio remoto (RDP), incluidas credenciales de inicio de sesión débiles.
En aquellos sistemas que ha infectado Backmydata logra persistencia, desactiva los firewalls, elimina instantáneas de volumen y extrae datos.
Así, los atacantes afirman haberse hecho con información confidencial que venderán si no se paga el rescate que piden.