El ransomware LockBit detrás del ataque a Capital Health, riesgo de fuga de datos

El ransomware LockBit ha reivindicado la autoría de un ciberataque perpetrado en noviembre de 2023 contra la red hospitalaria Capital Health y amenaza con liberar los datos robados y las conversaciones comerciales antes de mañana.

Capital Health es un proveedor de servicios de atención sanitaria primaria en Nueva Jersey y partes de Pensilvania, que gestiona dos grandes hospitales y varias clínicas satélite y especializadas.

El pasado mes de noviembre, la organización sufrió una interrupción de sus sistemas informáticos tras un ciberataque a su red, advirtiendo de que el incidente afectaría a sus operaciones durante al menos una semana.

Una notificación de incidente de seguridad en el sitio web de Capital Health afirma que todos los sistemas se han restablecido y las operaciones han vuelto a la normalidad, al tiempo que se han aplicado medidas de seguridad adicionales para evitar que vuelvan a producirse incidentes similares.

Las últimas actualizaciones de Capital Health indican que la investigación continúa para determinar si se robó algún dato en el ciberataque.

LockBit reivindica la autoría del ataque a Capital Health

La banda de ransomware LockBit reivindicó ayer el ataque a Capital Health al incluir a la empresa sanitaria en su portal de extorsión por filtración de datos.

Además, los ciberdelincuentes afirman haber robado siete terabytes de datos médicos confidenciales, que amenazan con hacer públicos mañana si la organización no satisface su petición de rescate.

LockBit tiene una norma de afiliación que establece que sus afiliados (hackers) no cifrarán archivos en las redes de los hospitales, pero les permitirán robar datos con fines de extorsión.

Aunque esta norma ha sido violada en numerosas ocasiones por los afiliados de la operación, en el ataque a Capital Health, la Operación LockBit afirma que evitó deliberadamente cifrar los archivos de la organización y se limitó a robar datos.

«Deliberadamente no ciframos este hospital para no interferir en la atención a los pacientes. Simplemente robamos más de 10 millones de archivos», afirma la banda de ransomware en su página de filtración de datos.

La mayoría de los grupos de ransomware suelen tener políticas estrictas con respecto a los proveedores de atención sanitaria, aconsejando a sus afiliados que no lleven a cabo este tipo de asaltos por razones éticas y prohibiéndoles el acceso si se desvían de esta instrucción.

Sin embargo, LockBit ha atacado repetidamente redes sanitarias, como el Hospital Infantil SickKids, el Katholische Hospitalvereinigung Ostwestfalen (KHO) en Alemania, así como el Carthage Area Hospital y el Claxton-Hepburn Medical Center en el norte del estado de Nueva York.

Cabe señalar que los operadores de LockBit afirman que no estaban detrás del ataque al KHO, sino que fue otra banda de ransomware la que utilizó su constructor de ransomware filtrado. CiberNovedades no ha podido verificar de forma independiente estas afirmaciones.

Si LockBit y otras bandas de ciberdelincuentes continúan siguiendo un enfoque puramente de robo de datos, extorsionar a los operadores de hospitales sin tocar la infraestructura crearía una falsa sensación de ciberataques «inofensivos».

Los ataques de ransomware sin cifrado pueden provocar cortes del sistema como parte de la respuesta de la víctima, violaciones de datos catastróficas para muchas personas que recibieron atención en los hospitales afectados y pérdidas financieras significativas para instituciones que ya están infrafinanciadas o en dificultades económicas.

Por desgracia, hay muchos ejemplos recientes de ataques de ransomware de gran repercusión en el sector sanitario, incluidas otras víctimas como Ardent Health Services, Integris Health, ESO Solutions y el Centro Oncológico Fred Hutchinson (Fred Hutch).