GHC-SCW: Ataque ransomware roba los datos médicos de 533.000 personas

El proveedor sanitario sin ánimo de lucro Group Health Cooperative of South Central Wisconsin (GHC-SCW) ha revelado que una banda de ransomware irrumpió en su red en enero y robó documentos con información personal y médica de más de 500.000 personas.

Sin embargo, los atacantes no pudieron cifrar los dispositivos comprometidos, lo que permitió a GHC-SCW asegurar sus sistemas con la ayuda de expertos externos en respuesta a incidentes cibernéticos y volver a ponerlos en línea después de aislarlos para contener la brecha.

«En la madrugada del 25 de enero de 2024, GHC-SCW identificó un acceso no autorizado a su red. Su departamento de tecnologías de la información (TI) aisló y protegió deliberadamente su red, lo que provocó que varios de sus sistemas no estuvieran disponibles temporalmente», declaró la organización sanitaria en un comunicado de prensa emitido el martes.

«El 9 de febrero de 2024, durante nuestra investigación, descubrimos indicios de que el atacante había copiado algunos de los datos de GHC-SCW, que incluían información sanitaria protegida (PHI). Nuestro descubrimiento se confirmó cuando el atacante, una banda extranjera de ransomware, se puso en contacto con GHC-SCW reclamando la responsabilidad del ataque y el robo de nuestros datos.»

Los datos sanitarios robados en el ataque de ransomware de enero incluyen los nombres, direcciones, números de teléfono, direcciones de correo electrónico, fechas de nacimiento y/o fallecimiento, números de la Seguridad Social, números de afiliación y números de Medicare y/o Medicaid de los afectados.

Aunque no proporcionó el número exacto de personas afectadas, la información adicional compartida con el Departamento de Salud y Servicios Humanos de EE.UU. muestra que la violación de datos afectó a 533.809 personas.

En respuesta a este incidente, GHC-SCW ha tomado medidas de seguridad para evitar que vuelvan a producirse infracciones de este tipo, entre ellas el refuerzo de los controles existentes, la realización de copias de seguridad de los datos y la formación de los usuarios.

Se aconseja a los interesados que vigilen todas las comunicaciones de los proveedores de asistencia sanitaria, incluidos correos electrónicos, extractos de facturación y otras comunicaciones, y que informen inmediatamente a GHC-SCW de cualquier actividad sospechosa.

El GHC-SCW aún no ha encontrado pruebas de que la información robada se utilizara con fines malintencionados.

Reclamado por el ransomware BlackSuit

Aunque la organización sanitaria sin ánimo de lucro con sede en Wisconsin no ha revelado el nombre del grupo de amenazas responsable de la brecha de enero, la banda de ransomware BlackSuit reivindicó la autoría del ataque en marzo.

Según los atacantes, los archivos robados también contienen información financiera sobre los pacientes afectados, datos de los empleados, contratos comerciales y correspondencia electrónica.

Aunque el sitio de filtraciones de BlackSuit se descubrió por primera vez el pasado mes de mayo y desde entonces se ha actualizado con docenas de nuevas víctimas, poco se sabe del grupo que está detrás de esta operación de ransomware.

En junio, la muy activa banda de ransomware Royal -que se cree que es la sucesora directa del célebre grupo de ciberdelincuentes Conti- empezó a probar un nuevo encriptador llamado BlackSuit después de que empezaran a surgir rumores de un cambio de marca en abril.

Desde entonces, Royal ha cambiado su nombre a BlackSuit y se ha reorganizado en una operación más centralizada, similar al modelo que utilizaba cuando formaba parte del sindicato Conti bajo el nombre de Team 2 (Conti2).

El FBI y el CISA revelaron en un comunicado conjunto en noviembre que la banda de ransomware Royal había penetrado en las redes de al menos 350 organizaciones de todo el mundo desde septiembre de 2022 y era responsable de más de 275 millones de dólares en demandas de ransomware.