El alcance de un reciente incidente cibernético en NHS Dumfries y Galloway, que inicialmente salió a la luz a principios de marzo de 2024, puede estar a punto de expandirse para incorporar el servicio de salud escocés en general, después de que afirmara una operación cibercriminal llamada Inc Ransom. estar en posesión de tres terabytes de datos robados del Servicio Nacional de Salud de Escocia.
En una publicación en la web oscura, Inc Ransom afirmó haber robado datos de más de 140.000 empleados clínicos y administrativos que trabajan en el NHS en Escocia y amenazó con publicarlos “pronto”. Como es habitual, también publicó como prueba una serie de objetos supuestamente robados. Se entiende que este pequeño volcado de datos incluye información confidencial, incluidos informes médicos y cartas a los pacientes.
NHS Dumfries and Galloway, que presta servicios a comunidades en el suroeste de Escocia, reconoció por primera vez que había sido víctima de un ciberataque “concentrado y continuo” el 15 de marzo, y en ese momento se comprometió con varios organismos, entre ellos la Policía de Escocia, el gobierno escocés y la Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC).
Dijo en ese momento que podría haber alguna interrupción en los servicios de primera línea y señaló el riesgo de que sus atacantes hayan robado datos confidenciales.
En una nueva actualización, NHS Dumfries and Galloway dijo que tenía conocimiento de que se habían publicado datos clínicos relacionados con un “pequeño número de pacientes” tras el ataque a sus sistemas. “Deploramos absolutamente la divulgación de datos confidenciales de pacientes como parte de este acto criminal”, dijo Jeff Ace, director ejecutivo del NHS Dumfries y Galloway. “Esta información ha sido divulgada por piratas informáticos para demostrar que está en su poder… Los servicios de atención al paciente continúan funcionando de forma eficaz y normal”.
Dijo que NHS Dumfries y Galloway se comunicarán con los pacientes cuyos datos se sabe que han sido filtrados, y que se está trabajando para limitar cualquier intercambio de ellos.
“NHS Dumfries and Galloway es muy consciente del impacto potencial de este desarrollo en los pacientes cuyos datos se han publicado, y de la ansiedad general que podría resultar en nuestra población de pacientes”, dijo Ace.
Sector más atacado
Según la inteligencia de amenazas de Check Point, la atención médica es la tercera industria más atacada por los ciberdelincuentes en el Reino Unido, a pesar de que muchas bandas de ransomware se jactan de que no atacan a dichas organizaciones, una mentira evidente.
Dijo que, considerando cuán disruptivos pueden ser los ciberataques para los servicios de atención crítica, las infracciones exitosas en el NHS tienen mucho más impacto que en otras industrias, lo que significa que los diversos componentes del servicio de salud deben estar en la cima de su juego.
El director global de seguridad de la información (CISO) de Check Point, Deryck Mitchelson, quien fue CISO del NHS Escocia hasta 2022 y también forma parte del Consejo Asesor Nacional de Resiliencia Cibernética (NCRAB) de Escocia, dijo: “La atención médica es el coto de caza perfecto para los ciberdelincuentes. Tiene una amplia superficie de ataque que consta de muchas tecnologías heredadas y más nuevas y depende de una gran red de proveedores externos. La escala y la complejidad de los servicios hacen que sea muy difícil detectar una infracción, como ésta, hasta que los datos hayan sido exfiltrados o cifrados y los servicios críticos se vean afectados.
“Se necesita una estrategia holística de ciberseguridad que elimine la complejidad y reduzca la cantidad de productos y controles de seguridad implementados”, dijo. “Además de un ahorro sustancial de costos, esto brindaría una visibilidad mejorada en tiempo real y una capa de seguridad preventiva, reduciendo la probabilidad de un ataque similar. Si no adoptamos ese cambio, me temo que seguiremos viendo grandes interrupciones en nuestros servicios más críticos y vulnerables”.
Rescate Inc
Inc Ransom se encuentra entre una serie de operaciones de ransomware emergentes que ahora parecen estar llenando el vacío dejado por las recientes acciones policiales contra empresas como ALPHV/BlackCat y LockBit. Apareció por primera vez en julio de 2023 y opera una práctica estándar de doble extorsión, aunque por ahora parece evitar el modelo de ransomware como servicio. Es una operación técnicamente inteligente y, al igual que LockBit, aprovecha con entusiasmo las vulnerabilidades de día cero.
Inc Ransom ha tendido a favorecer el ataque a organizaciones de los sectores de salud y educación, habiendo nombrado a 20 víctimas hasta lo que va de 2024.
El investigador e ingeniero de software de Check Point, Liad Dadash, dijo que valía la pena examinar las afirmaciones del grupo de haber atacado el NHS Escocia.
“Se informa que el ciberataque divulgado públicamente por Inc Ransom el 26 de marzo está asociado con una investigación en curso en NHS Dumfries y Galloway”, dijo. “Lo que sabemos es que muchos de los documentos en poder de los ciberdelincuentes parecen ser de la misma región de origen, lo que añade credibilidad a las afirmaciones del grupo de ransomware”.