El grupo de ransomware Rhysida, que pedía cerca de 650 mil dólares de recompensa, subió 831 GB, más de 1.6 millones de archivos. Hay referencias a datos sensibles.
Luego de que el Programa de Atención Médica Integral (PAMI) sufriera un ciberataque el pasado 2 de agosto, los ciberdelincuentes que entraron a los sistemas publicaron 1.6 millones de archivos (831 GB de datos) en la dark web. Entre ellos hay referencias a historias clínicas, estudios y todo tipo de datos personales.
El grupo cibercriminal, conocido como Rhysida, depositó un ransomware, un tipo de virus que cifra los archivos de la víctima para volverlos inaccesibles. A cambio, exigían un rescate en criptomonedas: al PAMI le pedían 25 BTC, cerca de 647 mil dólares al día sábado.
El método extorsivo de este ransomware es doble: primero, intenta bloquear el acceso a su propio dueño. Luego, amenazan con filtrar la información para dañar la reputación de la entidad.
“Según se puede ver al analizar el file tree [árbol de archivos], Rhysida subió archivos que refieren a historias clínicas, fichas de tratamientos, vacunaciones a domicilio, formularios para tratamientos oncológicos, informes de laboratorio, y estudios que remiten a tomografías, ecografías de carácter sensible”, analizó Mauro Eldritch, experto en análisis de amenazas de Birmingham Cyber Arms.
También hay nombres de archivos que hacen referencia a datos internos: “Auditoría, facturación de centros médicos con detalles de pacientes, partidas presupuestarias, CVs y contratos de proveedores”, enumera.
En este caso, la vulnerabilidad de los sistemas del PAMI repercute en la privacidad de sus afiliados: cuando se filtran datos personales, esto es muy grave para los ciudadanos debido a que esta información se puede utilizar tanto para cometer estafas como para realizar delitos en nombre de terceros. Así, los jubilados quedan expuestos a nuevos engaños a partir del uso de información de sus estudios, domicilios y este tipo de datos personales.
El PAMI había minimizado el incidente y había asegurado que el ataque había sido mitigado.
“Queremos informarles que los sistemas de PAMI han experimentado un ciberataque que ha afectado temporalmente el servicio. El ataque ha sido mitigado y toda la información de nuestros servidores se encuentra resguardada y protegida”, informó la entidad el pasado 2 de agosto.
Una vez subidos los archivos en la dark web, y al momento de la publicación de esta nota, se reiteró el pedido, sin recibir respuesta.
El ciberataque causó además dificultades en los sistemas del PAMI: demoras en turnos, medicación y trámites, 90 denuncias por día y, además, a los 14 mil empleados de la entidad les prohibieron loguearse a sus equipos de manera tradicional, lo que complicó las operaciones.
Durante las semanas posteriores al ciberataque, la Defensoría de la Tercera Edad denunció que pacientes y médicos tuvieron complicaciones con el uso de los distintos servicios. El viernes por la noche, la entidad comunicó a los médicos de cabecera el restablecimiento del SII (Sistema Interactivo de Información).
“La identificación y clasificación de los datos son de las principales actividades para la seguridad de la información: en esos procesos se identifican no solo los datos importantes para la organización que se deben proteger, sino también los datos personales, que requieren un cuidado y protección especial de acuerdo con nuestra legislación vigente”, dijo a este medio Marcela Pallero, responsable del Programa STIC de la Fundación Sadosky.
“Además de la denuncia penal para encontrar a los autores de este tipo de ataques, debe realizarse una investigación para entender qué pasó y cómo, para evitar que vuelva a ocurrir. Cuando hay datos personales, esta explicación debería ser -idealmente- de conocimiento del público”, agregó.
¿Quién es Rhysida el nuevo grupo cibercriminal?
Rhysida fue detectado en mayo de este año como un nuevo actor en la escena global del cibercrimen. Por esto, a diferencia de otros grupos como Lockbit, Black Cat (ALPHV) o Babuk, sus tácticas, técnicas y procedimientos (TTP) están saliendo a la luz de a poco.
“Las cinco tácticas observadas incluyen movimiento lateral para lograr el control total de la red, el acceso a credenciales para lograr accesos como administrador, conexiones a command and control para mantenerse conectados, evasión de la defensa para evitar ser detectados y el impacto, que en este caso incluyo el cambio de contraseñas y el cifrado de todos los archivos sin posibilidad de restaurarlos” explicó Alejandro Botter, gerente de ingeniería de Check Point para el sur de Latinoamérica.
“La atención médica aparece como un objetivo clave para los ciberdelincuentes, y las razones son claras. La naturaleza esencial de los servicios de salud, combinada con la gran cantidad de datos médicos confidenciales almacenados, crea una superficie de amenaza ideal para los atacantes”, explica Check Point Research en un informe.
La empresa de inteligencia detectó además una conexión relevante: según sugieren, Rhysida estaría vinculada a Vice Society, un prolífico grupo en sus operaciones que en Argentina es conocido porque inyectó un ransomware en el Senado de la Nación en 2022. Como la Cámara Alta no pagó el rescate, dos meses después publicaron los datos con una enorme cantidad de información interna del órgano legislativo.
Argentina sufrió, durante 2023, al menos 1.200 millones de intentos de ciberataques, según un reporte publicado el jueves pasado por Fortiguard Labs, el laboratorio de amenazas de Fortinet.
“La actividad de Ransomware, particularmente, aumentó 13 veces con respecto al mismo periodo de 2022 y sus variantes crecieron un 175% en el último año”, explicó a este medio Maximiliano Noce, Líder de Ingeniería Argentina de Fortinet.
Así, el PAMI se suma a la extensa lista de entidades del Estado afectadas por ciberataques: la Dirección Nacional de Migraciones, el Renaper, el Hospital Garrahan, la Justicia de Córdoba, la Legislatura porteña y la Comisión Nacional de Valores son sólo algunos de los que sufrieron distintos tipos de robos de datos durante estos últimos años.