¿Sorprenderse o agradecer? En este escenario han quedado los equipos de seguridad de TI (Tecnología de la Información) de las instituciones del sector salud al leer el “comunicado de prensa” presuntamente emitido por el grupo detrás del ransomware Maze.
Y es que este adversario ha decidido detener los ciberataques o actividades dirigidas a organizaciones médicas, al menos hasta que se estabilice la situación actual por el coronavirus (COVID-19).
Para nadie es un secreto que los efectos pueden ser devastadores cuando un ransomware ataca un establecimiento de salud. Justamente, Tony Anscombe, jefe evangelista de seguridad en ESET, ha recordado que esto se observó en 2017 cuando WannaCryptor.D impactó a varios sitios del Servicio Nacional de Salud del Reino Unido.
También conocido como WannaCry, este ransomware limitó su capacidad de proporcionar servicios y provocó la cancelación de casi 20 mil citas, según lo afirmado por Anscombe en una entrada de blog.
Ahora, la pandemia por COVID-19 está estirando al máximo los recursos de los servicios de salud en todo el mundo, por lo que este anuncio de la suspensión de ciberataques del grupo del ransomware Maze podría ser considerado como “muy importante”.
Hay que destacar que entre esos recursos se incluyen los profesionales de la salud que combaten el avance del virus en primera línea, así como todos los equipos de soporte que crean el entorno para que trabajen, tales como los equipos de seguridad de TI.
El “comunicado de prensa”, tomado de la cuenta de Twitter MalwareHunterTeam con fecha del 18 de marzo de 2020, también establece que el grupo del ransomware Maze está dispuesto a ofrecer descuentos exclusivos a sus socios debido a las condiciones económicas provocadas por el nuevo coronavirus.
“Creo que por ‘socio’ se refieren a las víctimas, que es como los pirómanos llaman a los propietarios del edificio que incendiaron”.
La cita corresponde a Tony Anscombe, quien además ha indicado que este grupo ha sido responsable de varios ciberataques recientes, incluso contra la Ciudad de Pensacola y la compañía manufacturera Southwire.
Ha dicho que, en ambos casos, las víctimas se han negado a pagar el rescate exigido para recuperar la información secuestrada y, por eso, los operadores de Maze decidieron divulgar los datos robados.
Ciberataques al sector salud
Se ha podido conocer que al grupo detrás de Maze también se le atribuye la filtración de datos médicos de varias organizaciones de la salud que se han negado a cancelar los rescates solicitados por los ciberdelincuentes.
En este sentido, Anscombe ha informado que una de las organizaciones más grande perjudicada por estos ciberataques ha sido la propietaria de los Laboratorios de Diagnóstico Médico (MD Lab) de Nueva Jersey.
“En esta oportunidad los operadores de Maze publicaron cerca de 9,5 GB de datos de MD Lab en un intento por forzar las negociaciones para que paguen”.
Haciéndose eco de un artículo publicado en CyberScoop, el jefe evangelista de seguridad en ESET igualmente ha añadido que el FBI emitió una alerta de urgencia en diciembre de 2019 advirtiendo sobre los peligros del ransomware Maze.
El Buró Federal de Investigaciones ha detallado en el comunicado la forma en que los actores detrás de Maze utilizan diferentes métodos para comprometer una red, entre estos: falsos sitios de criptomonedas y campañas de spam (phishing) que suplantan la identidad de agencias gubernamentales y proveedores de seguridad.
“Si bien alguno puede pensar en lo considerados que han sido con esta decisión, le recuerdo a los lectores que estamos hablando de cibercriminales con un historial de disrupción y destrucción”.
Pata Anscombe, cualquier ataque a una institución de salud, sea en el momento que sea, tiene el potencial de causar una degradación en la atención que se le brinda al paciente, por lo que sus consecuencias podrían ser fatales.
Considera que ofrecer descuentos y la voluntad de detener los ciberataques en la situación actual por COVID-19 no debería distraer a nadie, sobre todo a los equipos de seguridad de TI.
Y es que la realidad es que “se trata de ciberdelincuentes con reputación y antecedentes por haber atacado a los sistemas de salud con total desprecio por el cuidado de los pacientes”.