Els autors del ciberatac contra tres hospitals catalans publiquen 52 gigues de dades

BarcelonaEl grup de pirates informàtics Gold Dupont ha reivindicat el greu ciberatac contra el Consorci Sanitari Integral (CSI) mitjançant el malware RansomExx, que va paralitzar gairebé del tot l’assistència als centres sanitaris de Barcelona i el Baix Llobregat Moisès Broggi, Dos de Maig i General de l'Hospitalet. El grup, a més, ha publicat a la dark web 52 gigabytes amb informació personal sensible dels seus usuaris. En la mostra dels continguts alliberats s'hi poden veure fotografies de DNI i informes mèdics, segons ha pogut comprovar l'ARA, i en aquests moments s'està analitzant què hi ha a la resta d'arxius publicats. El CSI, juntament amb el departament de Salut i l’Agència de Ciberseguretat de Catalunya, ha admès a l'ARA que, a més de la pèrdua d’accés temporal a la informació dels usuaris, que encara està en procés de recuperació, s'ha vist compromesa la confidencialitat d’un “volum reduït de dades”.

El consultor en seguretat informàtica José Nicolás Castellano, de l'empresa Andubay, recorda que Gold Dupont és un grup de ransomware, o sigui, de pirates informàtics que xifren la informació d'una víctima i exigeixen un rescat a canvi de permetre-li tornar-hi a accedir. Aquests grups, a més, sovint amenacen amb publicar les dades robades a internet si no se'ls paga el rescat que reclamen. Cal tenir en compte que aquests 52 GB de dades no tenen per què ser el total d'informació robada al consorci; publicar-ne una part podria ser una mesura de pressió perquè els paguin el rescat. "Aquest grup té un blog a la dark web i allà hi té els documents d'altres víctimes penjats. Des de fa una setmana que hi ha els de Ferrari", que el mateix grup havia atacat abans. "Avui a les 18 hores més o menys s’han penjat els dels hospitals catalans", explica Castellano.

Segons el consultor, en les últimes hores s’ha pogut saber com els pirates informàtics haurien aconseguit penetrar en el sistema de seguretat del CSI. "Per fer aquest atac abans han hagut d’aprofitar una vulnerabilitat del sistema", apunta. En concret, els atacants haurien aprofitat una vulnerabilitat de tipus 0 day, un punt dèbil d'un sistema informàtic que el fabricant ni tan sols sap que existeix i, per tant, no ha corregit. Si bé és cert que quan es va perpetrar el ciberatac la vulnerabilitat ja era coneguda, feia tot just una setmana que s'havia fet pública i encara no l'havien pogut resoldre amb una actualització.

En un comunicat conjunt, les autoritats asseguren que l’Autoritat Catalana de Protecció de Dades i l'Agència de Ciberseguretat ja està analitzant l’abast de la filtració, i posant en marxa tots els mecanismes per “minimitzar l'impacte de la publicació de les dades”. En aquest sentit, demanen als usuaris d’aquests centres que parin una atenció especial davant possibles informacions que puguin arribar-los mitjançant el correu electrònic i telèfons mòbils per prevenir intents de frau mitjançant "eventuals suplantacions".

El consorci assegura que ja està treballant per restaurar el sistema informàtic amb un servei de còpia al núvol i que ha pogut “dificultar el moviment intern de l’atacant” compartimentant la xarxa interna i desplegant tallafocs. També ha activat un pla de contingència per mantenir l'activitat assistencial, tot i que l’entitat ja ha pogut recuperar una gran part dels sistemes que es van veure compromesos, i ha avisat que exercirà totes les accions legals a l’abast contra els responsables de l’atac per mal ús o revelació d’informació. Cal dir que molts dels atacs mitjançant ransomware acaben impunes.

El Gold Dupont, recorda Castellano –impulsor del congrés de ciberseguretat més veterà de l'Estat, el NoConName–, està actiu des del 2018 i fa servir malware com RansomExx, Defray777, Cobalt Strike, Metasploit i Vatet Loader. Segons l'empresa de software de seguretat informàtica Trend Micro, RansomExx és un programari maliciós que deriva de Defray777 i que es va fer especialment conegut fa dos anys, quan es va fer servir en múltiples atacs contra agències governamentals, empreses privades i altres objectius "d'alt perfil" en pocs mesos de diferència.