Los constantes ataques perpetrados hacía la salud han hecho del sector el más afectado del cuatrimestre, representando el 21 % de los casos totales de Kroll. Una cifra preocupante si se compara con el 11 % que significó en el primer trimestre. Respaldando estos hallazgos, el Centro de Coordinación de Ciberseguridad del Sector de la Salud de EE. UU. emitió una nota en abril, alertando que el grupo de ransomware Hive apuntaba agresivamente hacía el sector.
Apoya a La Opinión haciendo clic aquí: http://bit.ly/SuscripcionesLaOpinion
El método de ataque principal utilizado por los grupos de hackers es el ransomware, con el que se emplean malwares encargados de confiscar y encriptar todos los datos existentes en el sistema seleccionado. Estos casos de ransomware suelen implicar una doble extorsión, donde no solo se extraen los datos antes de cifrar la red, sino que se amenaza con filtrarlos al público durante la negociación.
Los malwares tienen distintas formas de acceder a los sistemas, siendo los métodos de phising y los servicios remotos externos las vías de acceso más frecuentes.
En los casos de phising es común el uso de correos falsificados, los cuales contienen archivos ZIP ocultos que al ser descargados introducen malwares al equipo, como Bumbelblee o Qakbot. En cuanto a este último, Kroll detectó un aumento exponencial de su uso por parte de grupos de reciente aparición, como Black Basta.
Consecuentemente, la identificación de este u otro tipos de troyanos en un sistema operativo puede significar un anticipador a eventos de ransomware.
Lea también: En Cúcuta vendían medicinas hasta con excrementos de ratas
Si bien el phishing continúa siendo el método principal de acceso inicial, Kroll evidenció que los servicios remotos externos también tuvieron un incremento notable, usándose como vía de introducción un 700 % más en comparación al trimestre pasado. Sin embargo, este aumento paralelo entre prácticas de ransomware y servicios remotos externos indica una correlación entre el incidente y su causa raíz, hecho que no siempre es tan claro.
Pese a que se los ataques hacía el servicio sanitario se han disparado como nunca antes, el sector ha sido un blanco atractivo histórico para pandillas de ransomware, puesto que se interrumpen redes ligadas a servicios esenciales para el rescate de vidas humanas, lo cual motiva a las organizaciones respectivas a realizar el pago del rescate.
El rejuvenecimiento de los ransomware gangs viene dotada no solo de la aparición de nuevos actores, sino por la desintegración de antiguas bandas, como Conti. La misma apagó sus servidores el 23 de junio y sus integrantes se dispersaron en pequeños grupos separados. BlackCat, QuantumLocker y Hive son otros grupos que aumentaron su actividad durante el segundo trimestre.