En septiembre de 2024, Cencora Inc., una de las principales distribuidoras
farmacéuticas del mundo, se convirtió en la víctima de un
ciberataque perpetrado por el grupo de ransomware conocido como Dark Angels.
Este incidente ha encendido alarmas en la industria de la salud y ha puesto de
relieve la creciente amenaza que los ciberataques representan para sectores
críticos. El ataque resultó histórico con el
pago de 75 millones de dólares en Bitcoin, marcando el
mayor rescate registrado públicamente
hasta la fecha en un caso de extorsión por ransomware.
En febrero de 2024, Cencora, anteriormente conocida como AmerisourceBergen,
sufrió un ataque que comprometió una gran cantidad de datos personales y
médicos, incluyendo diagnósticos, recetas y otra información sensible.
Tras el ataque, los delincuentes exigieron inicialmente 150 millones de
dólares para liberar los sistemas de la empresa y evitar la publicación de los
datos robados.
Después de una negociación, la compañía acordó pagar 75 millones de
dólares, divididos en tres transacciones realizadas en marzo.
Este pago superó el anterior
récord de 40 millones de dólares pagados por CNA Financial en 2021 al
grupo EvilCorp, lo que destaca el impacto creciente de los ciberataques en el sector de la
salud. La industria médica es especialmente vulnerable debido al tipo de
información que maneja y la urgencia de mantener operativos los sistemas
críticos de atención sanitaria.
Dark Angels
El grupo de ciberdelincuentes responsable del ataque, Dark Angels, ha ganado
notoriedad en los últimos años por sus ataques dirigidos a grandes
corporaciones. Se cree que este grupo es una evolución de una anterior
organización cibercriminal, y su enfoque se caracteriza por atacar empresas de
sectores críticos, como la salud, la manufactura y el gobierno, donde el
impacto de un ataque puede ser devastador. En este caso, Dark Angels utilizó
ransomware, un tipo de software malicioso que bloquea el acceso a los sistemas
hasta que se paga un rescate.
Dark Angels es una operación de ransomware lanzada en mayo de 2022 cuando
comenzó a apuntar a empresas de todo el mundo. Como la mayoría de las bandas
de ransomware operadas por humanos, los operadores de Dark Angels violan las
redes corporativas y se mueven lateralmente hasta que finalmente obtienen
acceso administrativo. Durante este tiempo, también roban datos de los
servidores comprometidos, que luego utilizan como palanca adicional al
solicitar un rescate.
Cuando obtienen acceso al controlador de dominio de Windows, los actores de
amenazas implementan el ransomware para cifrar todos los dispositivos de la
red.
Cuando los actores de amenazas lanzaron su operación, utilizaron cifrados de
Windows y VMware ESXi
basados en el código fuente filtrado del ransomware Babuk. Sin embargo, con el tiempo, cambiaron a un cifrador de Linux que era el
mismo que usaba Ragnar Locker desde 2021. Ragnar Locker fue interrumpido por
las fuerzas del orden en 2023. Este cifrador de Linux se utilizó en un
ataque de Dark Angels a Johnson Controls
para cifrar los servidores VMware ESXi de la empresa. En este ataque, Dark
Angels afirmó haber robado 27 TB de datos corporativos y exigió un pago de
rescate de 51 millones de dólares
El ataque a Cencora y el pago del rescate de 75 millones de dólares subraya la
creciente sofisticación de los ciberataques y plantea serias preocupaciones
sobre la capacidad de las empresas para proteger sus sistemas.
Aunque Cencora logró restaurar sus operaciones, el incidente generó costos
adicionales relacionados con la respuesta al ataque, incluyendo gastos legales
y medidas de ciberseguridad para prevenir futuros incidentes.
Además, aunque Cencora ha afirmado que la información robada no ha sido
divulgada públicamente, los expertos advierten que pagar un rescate no
garantiza que los delincuentes cumplan con su palabra. Esto crea una mayor
incertidumbre para las empresas afectadas y sus clientes, que siguen estando
en riesgo de sufrir daños colaterales a largo plazo.
El sector de la salud ha sido uno de los más golpeados por el ransomware en
los últimos años,
debido a la riqueza de datos sensibles y la necesidad crítica de mantener la
operatividad de sus sistemas. Los hospitales, clínicas y distribuidores de
medicamentos como Cencora son objetivos frecuentes debido a la alta
probabilidad de que paguen rescates para evitar interrupciones en el
suministro de medicamentos y tratamientos esenciales.
Esta tendencia ha ido en aumento debido a varios factores clave que hacen que
las compañías farmacéuticas sean particularmente vulnerables y atractivas para
los ciberdelincuentes. Uno de ellos es la enorme cantidad de datos altamente
sensibles, como investigaciones científicas, fórmulas de medicamentos, datos
clínicos y propiedad intelectual. Además, debido a la naturaleza crítica de su
trabajo, cualquier interrupción puede tener consecuencias graves, tanto en
términos de impacto sanitario como financiero. Esto hace que las empresas
puedan sentirse más presionadas a pagar el rescate para recuperar sus datos.
La industria farmacéutica depende de complejos sistemas de TI para gestionar
la investigación y el desarrollo de medicamentos, la producción y la
logística. Los ciberdelincuentes saben que, si logran paralizar estos
sistemas, pueden causar graves interrupciones en la cadena de suministro y los
procesos productivos, lo que les da una ventaja para exigir grandes sumas de
dinero.
Regulaciones y cumplimiento
La industria farmacéutica está altamente regulada, lo que significa que
cualquier brecha de seguridad puede llevar a sanciones financieras, pérdidas
de reputación y la necesidad de cumplir con normativas estrictas, como la Ley
de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA, en EE. UU.) o el
Reglamento General de Protección de Datos (GDPR, en Europa). Esto añade una
presión adicional a la hora de decidir si pagar o no un rescate.
El caso de Cencora destaca la necesidad urgente de mejorar las defensas
cibernéticas en este sector. Las inversiones en ciberseguridad deben aumentar,
y las empresas de salud deben prepararse para enfrentar estos tipos de
amenazas que no solo interrumpen las operaciones, sino que también ponen en
peligro la vida de los pacientes al comprometer la privacidad de su
información médica.
El ataque a Cencora marca un punto de inflexión en la escalada de los
ciberataques, no solo por la cantidad récord del rescate, sino por lo que
implica para la seguridad de los sectores críticos. La creciente frecuencia de
estos incidentes obliga a las empresas, especialmente en la industria de la
salud, a reforzar sus defensas y a considerar medidas preventivas más
robustas.
Fuente:
Bitlifemedia
Los comentarios están cerrados.