Tiene vínculos con Vice Society, otro grupo de ransomware que encriptó datos del Senado en 2022. Cómo actúan.
Luego de que el PAMI reconociera un ataque de ransomware en sus servidores hace dos semanas, el grupo de ciberdelincuentes Rhysida listó a la entidad como víctima en su sitio en la dark web: piden 25 bitcoins, que equivalen a cerca de 734 mil dólares, y dan un poco más de tres días para pagar. De lo contrario, publicarán los datos.
Rhysida es un grupo cibercriminal que opera con ransomware, un tipo de programa malicioso que encripta sistemas y archivos para volverlos inaccesibles a sus propios administradores y usuarios. Se trata de una técnica extorsiva que creció de manera sustancial durante estos últimos años.
En la gran mayoría de los casos, cuando las víctimas no pagan, los ciberdelincuentes publican los datos para ejercer una segunda extorsión: es lo que le pasó a empresas como OSDE el año pasado y a entidades como la Comisión Nacional de Valores, hace apenas unos meses.
En la previsualización de archivos en la dark web se pueden ver documentos de personas, que podrían ser de empleados o de afiliados al PAMI. Un dato que destaca tiene que ver con el monto abultado que piden en comparación con otras víctimas listadas, a las que les pedían entre 2 y 6 BT (58.653 y 175.960 dólares).
Este ciberataque es congurente con el crecimiento de las detecciones contra entidades de salud afectadas por ransomware: según un informe de Check Point Research, está en un promedio de 1.744 ataques por semana a nivel global, con un aumento interanual del 30%.
“El ámbito de salud es el segundo más afectado por ataques de ransomware, con 1 de cada 27 organizaciones experimentando este tipo de ataques, lo que representa un aumento interanual del 16%”, explican.
Cuando se dio a conocer el ataque, el pasado 2 de agosto, la entidad aseguró que había sido “mitigado”. Sin embargo, el ransomware maneja un sistema de doble extorsión donde, aún si la víctima tiene un respaldo de datos (backup) y puede recuperarlos, se los amenaza con publicar los datos robados para dañar la reputación del objetivo. Esto podría traer serios problemas para la ciudadanía, en tanto el PAMI maneja información sensible.
“De acuerdo a inteligencia recolectada por nuestra plataforma Sheriff, tenemos conocimiento de que casi 650 credenciales de PAMI han sido filtradas en el último tiempo, lo que podría arrojar algo de luz sobre el posible punto de entrada que utilizó el actor de amenazas”, explicó a Clarín Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms.
Continuar leyendo el artículo completo en Clarín.
