El grupo de ransomware LockBit publicó en su sitio de la darkweb 140 GB con información que la banda criminal asegura fue robada de los sistemas de OSDE, una compañía que ofrece servicios de salud y atención médica en Argentina, y que el pasado 27 de junio confirmó que sufrió un incidente de seguridad.
Entre la información robada se encuentran historias clínicas de pacientes, información sobre enfermedades, tratamientos, estudios médicos, así como datos personales de algunos afiliados. Además de la información médica, el paquete de datos incluye información interna, direcciones de correo electrónico, entre otra información.
Los cibercriminales habían demandado a OSDE el pago de un rescate de 300.000 dólares a cambio de un descifrador para recuperar los archivos del cifrado y para evitar la publicación de la información robada. Sin embargo, al parecer la decisión de LockBit se debe a que la empresa de salud no accedió a pagarle a los atacantes, algo que por cierto es lo más recomendado, ya que además de estar financiando el negocio de los cibercriminales, pagar no asegura que los atacantes eliminarán la información robada o que no la venderán en foros clandestinos; tampoco que descifrarán los archivos. Además, muchas compañías que pagaron luego fueron víctimas de nuevos ataques.
Acerca del ransomware Lockbit
LockBit es un grupo de ransomware que opera desde 2019 bajo el modelo de Ransomware-as-a-Service (Raas). Está entre las bandas de ransomware más activas en 2021 y también en lo que va de 2022. En mayo de este año y luego del cierre del grupo de ransomware Conti, LockBit concentró el 40% de las víctimas de ransomware en los últimos años.
Entre las técnicas que utiliza esta banda para acceder a los sistemas de las víctimas para exfiltrar información y luego cifrar los archivos están: correos de phishing, ataques a servicios RDP, y explotación de vulnerabilidades.
En junio de este año la banda lanzó la versión 3.0 del ransomware y anunció un programa de recompensas para que terceros reporten vulnerabilidades, ideas de mejora y otras acciones a cambio de recompensas que van desde los 1.000 dólares hasta 1 millón.
Además, otro de los cambios que introdujo el grupo con el lanzamiento de su nueva versión y su nuevo sitio en la dark web tienen que ver con otras formas de explotar el modelo de negocio, ya que ahora cualquiera que llegue al sitio del grupo tendrá la posibilidad de pagar por eliminar la información o descargar los datos robados. Esto claramente con el objetivo de presionar más a las víctimas para que paguen.
Vale la pena mencionar que LockBit se ha cobrado varias víctimas en América Latina desde que comenzó a operar. Entre las más de 850 víctimas acumuladas se encuentran organizaciones y organismos gubernamentales de países como Argentina, Brasil, México, Venezuela, Perú y Panamá.
Por último, invitamos a escuchar el episodio del podcast Conexión Segura sobre ransomware, donde explica un poco más sobre los grupos de ransomware y la actividad de esta amenaza informática a nivel global.
Visto en WeLiveSecurity