9.8 C
Ushuaia
jueves, marzo 28, 2024
InicioTecnologíaCiberataque a las farmacias: los hackers dan un mes para pagar el...

Ciberataque a las farmacias: los hackers dan un mes para pagar el rescate o publican la información robada

El grupo de ransomware Lockbit encriptó el sistema Farmalink, que maneja los descuentos de las prepagas. La empresa asegura que no tendrían datos sensibles.

Lockbit, el grupo de ciberdelincuentes que realizó el ataque contra el sistema de venta de medicamentos con recetas Farmalink, dio un plazo de cerca de un mes para negociar el pago de un rescate y devolver la información robada. Vencido ese lapso, publicarán los datos. 

Bizland, la empresa que opera el sistema Farmalink, asegura que “no se accedió a la extorsión” y que “en principio, no se encontrarían comprometidos datos sensibles de ningún tipo”. Lockbit es una banda internacional que utiliza ransomware, un tipo de malware (virus) que encripta información para volverla inaccesible y pedir un rescate en criptomonedas a cambio.

Los hackers ofrecen un “soporte técnico” para las víctimas donde, incluso, dan como muestra gratis el desencriptado de un archivo de hasta 50 Kb. Clarín confirmó que la posibilidad de negociar está abierta a través del sitio en la dark web deLockbit, donde Bizland no inició el diálogo.

Al día miércoles de esta semana, el tiempo remanente para negociar era de 28 días y no se había iniciado diálogo desde la empresa. Se desconoce qué cifra demandan los ciberdelincuentes, pero Lockbit suele pedir de 200 mil dólares para arriba en cripto.

Farmalink gestiona el sistema de descuentos en farmacias. Foto: Rafael Mario QuinterosFarmalink gestiona el sistema de descuentos en farmacias. Foto: Rafael Mario Quinteros

Bizland presentó una denuncia judicial ante la Unidad Fiscal de Ciberdelincuencia (UFECI) que dirige Horacio Azzolin. Allí se detalla la detección del ataque: tras un problema en su datacenter, los equipos en red dejaron de funcionar y se desconectó el software que administra las máquinas virtuales (vSphere).

Fue entonces cuando el área de sistemas encontró el archivo con lo que se conoce como “ransom note”, la nota del secuestro que los grupos de ciberdelincuentes dejan a sus víctimas: “Sus datos fueron robados y encriptados. Si no paga el rescate, se publicarán en nuestros sitios TOR en la dark web. Tenga en cuenta que una vez que sus datos aparecen en nuestro sitio de filtraciones, sus competidores podrían comprarlos en cualquier momento”.

Según la denuncia presentada ante el juzgado de Azzolin, a la que pudo acceder Clarín, “en principio, no se encontrarían comprometidos datos sensibles de ningún tipo”. Este medio consultó a Bizland qué información sí comprometieron, pero la empresa decidio no dar detalles “para no promocionar a los extorsionadores”.

Sin embargo, por el tipo de información que maneja la compañía (recetas médicas, números de documento y afiliado de usuarios, direcciones, correos electrónicos y más), también podrían tener datos sensibles.

“El indicador del sitio marca el tiempo restante para que la negociación fracase ‘por defecto’, pero está sujeta a parámetros muy delicados como la participación de negociadores o agentes de gobierno en el asunto, o incluso cualquier acción que pueda considerarse como desinterés u hostilidad por parte de la víctima podrían derivar en una divulgación temprana a modo de castigo”, explica Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms.

Por otro lado, también podría alargarse el plazo: “Gestos de ‘entendimiento’ como compromisos de pago o negociaciones afables pueden llevar a los actores a prolongar este período, de la misma forma si apareciese un eventual comprador por fuera de la víctima”, agrega.

Mientras tantó, según relevó Clarín, hay al menos un millón de recetas afectadas y surgieron nuevas complicaciones para los usuarios del servicio.

Lockbit: Ransomware como Servicio (Raas)

LockBit fue el grupo con más ataques de 2022. Fuente: KelaLockBit fue el grupo con más ataques de 2022. Fuente: Kela

Lockbit se dedica a lo que se conoce como “Big Game Hunting”, o caza de grandes objetivos: buscan víctimas con grandes posiciones económicas, que pueden ser empresas o Gobiernos. Antes de encriptar estudian todo: cuánto facturan, cantidad de empleados y si cotizan en bolsas locales.

Utilizan un método conocido como Ransomware como Servicio (RaaS, por su sigla en inglés), con “afiliados”. Algunos casos resonantes en Argentina fueron Artear (por parte de Hive, un grupo ya desarticulado), Arsat, el Poder Judicial de Córdoba (ambos por parte de Play)

“Las bandas que tienen esta modalidad ponen a la venta su código malicioso. Esto, generalmente es a través de la dark web: allí venden su programa para encriptar y buscan a quien lo despliegue. El partner o afiliado puede ser un empleado de la empresa atacada, o alguien que compró el servicio para depositarlo en una víctima, porque tiene acceso privilegiado”, explica a Clarín Arturo Torres, Estratega de Inteligencia contra Amenazas para FortiGuard Labs para Latinoamérica y el Caribe.

“Cuando se despliega el ransomware y se infecta una compañía, arranca la extorsión y la negociación. Ahí es cuando la banda empieza a interactuar. Luego de negociar se reparten las ganancias entre el creador del código malicioso, es decir, el grupo cibercriminal, y sus afiliados”, suma el experto de Fortinet. Lockbit es conocido por darle el 20% del beneficio económico a sus socios.

El grupo delictivo ya tiene un historial en nuestro país, sumando entre sus víctimas a Ingenio Ledesma, Grupo Albanesi y la prepaga Osde, con un saldo de datos médicos sensibles e internos de la compañía filtrados.

“A partir de los casos reportados concentrados en nuestra plataforma de análisis de amenazas Sheriff, en 2022 tuvimos 2610 ataques de ransomware registrados. Sólo en lo que va de 2023 (menos de la mitad del año) tenemos 1398 al día de hoy. De estos, 387 (más del 25%) fueron causados por Lockbit”, analiza para Clarín Eldritch.

Y aclara: “No es menor recordar que existe una importante cifra en negro en cuanto al ransomware, ya que hay muchos hechos que no se reportan policial o judicialmente”.

10 millones de dólares por un miembro de Lockbit

"Boris", buscado por el FBI. Foto FBI“Boris”, buscado por el FBI. Foto FBI

Esta semana, el FBI publicó una recompensa contra un actor clave del grupo Lockbit y ofrece 10 millones de dólares por su cabeza. Se trata de un ciudadano ruso llamado Mikhail Pavlovich Matveev, también conocido como Wazawaka o Boris.

Según el FBI, Boris, de 30 años, es una “figura central” en el desarrollo y despliegue de las variantes de ransomware LockBit , Babuk y Hive desde, mínimo, junio de 2020.

“Matveev es además señalado como uno de los principales desarrolladores del ransomware Babuk, es decir la persona que ‘construye’ y ‘mejora’ el software malicioso con el que infectará a las víctimas, y como administrador de su infraestructura, lo que lo ubica en un punto central y estratégico de la organización por partida doble”, explica Eldritch.

Hay un dato importante que destaca el perfil del FBI, y es que a Boris le falta un dedo anular, algo que el FBI señala en su perfil: “Particularmente el código fuente de Babuk pasó por muchas manos además de las de Matveev, una de las cuales carece de un dedo anular, lo cual no es un detalle menor: esto causaría varios problemas ‘técnicos’ más adelante”.

“Las reversiones de este ransomware no se detuvieron ahí, ya que en 2021 y tras una seguidilla de peleas internas (pero expuestas en foros y canales de la organización) un afiliado de apenas 17 años oriundo de Rusia, decide filtrar públicamente el código fuente de Babuk en línea. Esto llevó casi en forma inmediata a nuevas reversiones del mismo especialmente diseñadas para sistemas VMWare ESXI, además de dar nacimiento a Rook, el primer ransomware relevante creado a partir de Babuk.

El FBI estimó, según estas cifras subrepresentadas, la recaudación de estos grupos: “Las demandas totales de rescate supuestamente hechas por los miembros de estas tres campañas globales de ransomware a sus víctimas ascienden a 400 millones de dólares, mientras que los pagos totales de rescate de las víctimas ascienden a 200 millones de dólares”.

ARTICULOS RELACIONADOS