Don Farrall/Getty Images
En febrero, los atacantes del grupo de ransomware BlackCat con sede en Rusia atacaron un consultorio médico en el condado de Lackawanna, Pensilvania, que es parte de Lehigh Valley Health Network (LVHN). En ese momento, LVHN dicho que el ataque “involucró” un fotosistema del paciente relacionado con el tratamiento de oncología radioterápica. El grupo de atención médica dijo que BlackCat había emitido una demanda de rescate, “pero LVHN se negó a pagar esta empresa criminal”.
Después de un par de semanas, BlackCat amenazó con publicar los datos robados del sistema. “Nuestro blog es seguido por una gran cantidad de medios de comunicación mundiales, el caso será ampliamente publicitado y causará un daño significativo a su negocio”, escribió BlackCat en su sitio de extorsión en la web oscura. “Te estas quedando sin tiempo. ¡Estamos listos para desatar todo nuestro poder sobre ti!” Luego, los atacantes publicaron tres capturas de pantalla de pacientes con cáncer que recibían tratamiento de radiación y siete documentos que incluían información del paciente.
Las fotografías médicas son gráficas e íntimas y muestran los senos desnudos de las pacientes en varios ángulos y posiciones. Y aunque los hospitales y los centros de salud tienen mucho tiempo a favorito objetivo de las pandillas de ransomware, los investigadores dicen que la situación en LVHN puede indicar un cambio en la desesperación de los atacantes y su voluntad de ir a extremos despiadados a medida que los objetivos de ransomware se niegan cada vez más a pagar.
“A medida que menos víctimas pagan el rescate, los actores de ransomware se vuelven más agresivos en sus técnicas de extorsión”, dice Allan Liska, analista de la firma de seguridad Recorded Future que se especializa en ransomware. “Creo que veremos más de eso. Sigue de cerca los patrones en los casos de secuestro, donde cuando las familias de las víctimas se niegan a pagar, los secuestradores pueden enviar una oreja u otra parte del cuerpo de la víctima”.
Los investigadores dicen que otro ejemplo de estas escaladas brutales se produjo el martes cuando la banda emergente de ransomware Medusa publicó datos de muestra robados de las Escuelas Públicas de Minneapolis en un ataque de febrero que vino con una demanda de rescate de $ 1 millón. Las capturas de pantalla filtradas incluyen escaneos de notas escritas a mano que describen acusaciones de agresión sexual y los nombres de un estudiante y dos estudiantes involucradas en el incidente.
“Tenga en cuenta que MPS no ha pagado un rescate”, dijo el distrito escolar de Minnesota en un comunicado. declaración a principios de marzo. El distrito escolar inscribe a más de 36,000 estudiantes, pero los datos aparentemente contienen registros relacionados con estudiantes, personal y padres que se remontan a 1995. La semana pasada, Medusa publicó un video de 50 minutos en el que los atacantes parecían desplazarse y revisar todos los datos que robaron de la escuela, una técnica inusual para anunciar exactamente qué información tienen actualmente. Medusa ofrece tres botones en su sitio web oscuro, uno para que cualquiera pague $ 1 millón para comprar los datos MPS robados, uno para que el distrito escolar pague el rescate y elimine los datos robados, y otro para pagar $ 50,000 para extender el fecha límite de rescate por un día.
“Lo que es notable aquí, creo, es que en el pasado las pandillas siempre han tenido que lograr un equilibrio entre presionar a sus víctimas para que paguen y no hacer cosas tan atroces, terribles y malvadas que las víctimas no quieren tratar con ellos”. dice Brett Callow, analista de amenazas de la empresa de antivirus Emsisoft. “Pero debido a que los objetivos no pagan con tanta frecuencia, las pandillas ahora presionan más. Tener un ataque de ransomware es malo para las relaciones públicas, pero no tan terrible como lo fue antes, y es realmente malo para las relaciones públicas que te vean pagando a una organización que hace cosas terribles y atroces”.
La presión pública ciertamente está aumentando. En respuesta a las fotos de pacientes filtradas esta semana, por ejemplo, LVHN dijo en un comunicado: “Este acto criminal desmesurado se aprovecha de los pacientes que reciben tratamiento contra el cáncer, y LVHN condena este comportamiento despreciable”.
El Centro de Quejas de Delitos en Internet del FBI (IC3) dijo en su informe anual Informe de delitos en Internet esta semana que recibió 2.385 informes sobre ataques de ransomware en 2022, por un total de 34,3 millones de dólares en pérdidas. Las cifras se redujeron de 3729 denuncias de ransomware y $ 49 millones en pérdidas totales en 2021. “Ha sido un desafío para el FBI determinar la cantidad real de víctimas de ransomware, ya que muchas infecciones no se informan a las fuerzas del orden”, señala el informe.
Pero el informe menciona específicamente un comportamiento de extorsión más agresivo y en evolución. “En 2022, el IC3 ha visto un aumento en una táctica de extorsión adicional utilizada para facilitar el ransomware”, escribió el FBI. “Los actores de amenazas presionan a las víctimas para que paguen amenazando con publicar los datos robados si no pagan el rescate”.
De alguna manera, el cambio es una señal positiva de que esfuerzos para combatir el ransomware estan trabajando. Si suficientes organizaciones tienen los recursos y las herramientas para resistir el pago de rescates, es posible que los atacantes finalmente no puedan generar los ingresos que desean e, idealmente, abandonarían el ransomware por completo. Pero eso hace que este cambio hacia tácticas más agresivas sea un momento precario.
“Realmente no hemos visto cosas como esta antes. Los grupos han hecho cosas desagradables, pero el objetivo eran los adultos, no los pacientes enfermos de cáncer ni los niños en edad escolar”, dice Callow de Emsisoft. “Espero que estas tácticas los muerdan en el trasero y que las empresas digan que no, que no se nos puede ver financiando una organización que hace estas cosas atroces. Esa es mi esperanza de todos modos. Queda por ver si reaccionarán de esa manera”.
Esta historia apareció originalmente en Wired.com.