La operación de ransomware ALPHV o BlackCat de habla rusa nombró a Barts NHS Trust en su sitio de fugas en la web oscura, afirmando haber exfiltrado 7 TB de datos del grupo, pero casi tres días después de que saliera a la luz la noticia del incidente, su naturaleza y circunstancias precisas. Permanece sin aclarar.
Se hizo la publicación en la dark web en la tarde del viernes 30 de junio, y desde entonces Computer Weekly ha revisado una copia del aviso. Está escrito en un inglés típicamente entrecortado y afirma ser la “fuga más grande del sistema de atención médica en el Reino Unido”.
La pandilla dijo: “Tienen 3 días para comunicarse con nosotros para decidir este lamentable error, que hizo que su departamento de TI decidiera qué hacer en el siguiente paso. Si prefiere guardar silencio, comenzaremos a publicar datos, en su mayoría, documentos confidenciales de los ciudadanos. [sic]”.
El volcado de datos supuestamente incluye información de identificación personal (PII) sobre médicos y empleados de Trust, incluidos CV y números de seguro social (presuntamente referidos al Seguro Nacional), así como informes financieros, datos contables y de préstamos, y acuerdos de seguros. Supuestamente también incluye la documentación del cliente y los datos de la tarjeta de crédito.
Un ataque exitoso de ransomware en un NHS Trust como Barts, que opera cinco sitios importantes de Londres: St Bartholomew’s Hospital, The Royal London Hospital, Mile End Hospital, Whipps Cross Hospital y Newham Hospital, que atiende a más de 2,5 millones de personas, habría causado importantes perturbación y llegó a los titulares nacionales.
El hecho de que esto no haya sucedido podría indicar que ALPHV/BlackCat no ha implementado ningún ransomware en los sistemas de Barts. Esta es ahora una táctica común, ya que, como cualquier organización legítima, las pandillas de delincuentes cibernéticos con motivación financiera intentarán tomar el camino de menor resistencia para maximizar el rendimiento potencial de su “inversión”. Últimamente, esto ha sido evidenciado por los continuos ataques de Clop a los usuarios del producto de transferencia de archivos MOVEit.
Alternativamente, podría sugerir que la pandilla fue interrumpida y desalojada de los sistemas de Bart después de haber exfiltrado datos pero antes de haber ejecutado su casillero.
Hablando antes del fin de semana, un portavoz de Barts simplemente confirmó que la organización estaba al tanto de los reclamos y estaba investigando “con carácter de urgencia”.
Su oficina de prensa no había respondido a una solicitud de más comentarios al momento de escribir este artículo. Casi 72 horas después de que la pandilla publicara por primera vez el nombre de Barts en línea, no queda evidencia pública, aparte de su palabra, para respaldar sus afirmaciones.
Operación de larga duración
La operación ALPHV/BlackCat, que también se conoce como Noberus y se cree que tiene vínculos con operaciones anteriores como BlackMatter, la pandilla DarkSide que atacó Colonial Pipeline en 2021, y posiblemente REvil, es en sí misma uno de los jugadores más establecidos en el ruso. clandestino ciberdelincuente.
Anteriormente operaba un malware conocido como Carbanak, que se dirigía a los bancos y probablemente se usó para robar cerca de mil millones de dólares en el transcurso de su vida útil.
Desde que recurrió al ransomware, ALPHV/BlackCat se ha convertido en un operador muy peligroso, que saltó a la fama en los primeros dos meses de 2022 con una serie de ataques a operadores de infraestructura de transporte y combustible.
Este año, se sabe que apuntó a los sistemas de la empresa de almacenamiento Western Digital, desconectando sus servicios MyCloud y SanDisk durante casi quince días en mayo, y al gigante multinacional de pagos NCR, que fue golpeado en abril y causó problemas de servicio para las organizaciones hoteleras que utilizan su plataforma de punto de venta Aloha.