Ataque de ransomware paraliza la vacunación contra el COVID-19 en una región italiana

La región de Lazio en Italia ha sufrido un ataque de ransomware que ha desactivado los sistemas informáticos de la región. El mencionado ataque también afectó el portal de registro de vacunación contra el COVID-19.

El domingo por la mañana, la región de Lazio sufrió un ataque de ransomware que cifró todos los archivos de su centro de datos e interrumpió su red informática.

“En la noche entre el sábado y el domingo, la Regione Lazio sufrió un primer ciberataque de un grupo criminal. No sabemos quién es el responsable y sus objetivos”, dijo Nicola Zingaretti, presidente de la región de Lazio, en un comunicado en Facebook.

El ataque bloqueó casi todos los archivos en el centro de datos. Hasta el momento, la campaña de vacunación continúa con normalidad para todos los que han realizado su cita. Las citas de vacunación estarán temporalmente suspendidas en los próximos días. El sistema está actualmente cerrado para permitir la verificación interna y evitar la propagación del virus introducido con el ataque.

Si bien sabemos que las bandas de ransomware roban datos durante un ataque como punto de apoyo en los intentos de extorsión, aquí no ha ocurrido. La región afirma que los datos de salud, financieros y presupuestarios están seguros.

La interrupción también afectó al portal de salud Salute Lazio utilizado para realizar citas para las vacunas contra el COVID-19.

Consecuencias del ataque

“Hay un poderoso ataque de hacking en toda la región. Todos los sistemas están desactivados, incluido todo el portal Salute Lazio y la red de vacunación. Todas las operaciones de defensa y verificación están en marcha para evitar la apropiación indebida. Las operaciones de vacunación pueden experimentar retrasos”.

Comunicado de la región.

En junio, Italia instituyó un nuevo sistema de certificado ‘Green Pass’. Este sistema permite a las personas demostrar que han sido vacunadas, si dieron negativo en las pruebas o previamente han tenido COVID-19. 

Este pase verde es necesario para comer dentro de restaurantes y bares. Asimismo, será utilizado para acceder a gimnasios, parques de diversiones, museos y otros lugares donde haya aglomeraciones a partir del 6 de agosto.

Con más del 70% de la población de Lazio vacunada y un aumento masivo en los registros desde el anuncio de la política del Pase Verde, el ataque tendrá muchas repercusiones. Por ejemplo, existe la preocupación de que se interrumpan las citas en línea para la vacunación contra el COVID-19.

Sin embargo, la región afirma que no ha habido interrupciones en las citas existentes para las vacunas. Además, aseguran que el sistema de registro en línea volverá a estar en línea en unos días. 

“¡La campaña de vacunación no se detiene! En la jornada de ayer se administraron 50 mil vacunas, a pesar del enorme ciberataque sufrido”, afirmó la región en Facebook.

Posible ataque de ransomware de RansomEXX

Hoy, diversas fuentes han afirmado que el ataque cibernético a Lazio fue realizado por una banda de ransomware conocida como RansomEXX.

En una nota de rescate redactada compartida por el ataque a Lazio, los actores de la amenaza dicen: “Hello, Lazio!” y advierte a la región que sus archivos están cifrados. La nota de rescate también incluye un enlace a una página web oscura privada que Lazio puede usar para negociar con la banda de ransomware.

La nota de rescate no indica qué operación llevó a cabo el ataque. Sin embargo, la URL .onion listada es un sitio Tor asociado a la banda de ransomware RansomEXX.

Algunos medios han recibido una captura de pantalla de la página de negociación advirtiendo que la región debe pagar un rescate para descifrar sus archivos. No obstante, Los actores de amenaza sno han exigido un monto exacto.

Las páginas de negociación de RansomEXX son únicas por víctima.  Y, ​​si los actores de amenazas robaron datos durante el ataque, ellos brindan detalles en la página. Esto incluye la cantidad de datos robados y capturas de pantalla de los archivos.

En este caso, la página de negociación no muestra indicios de que RansomEXX haya robado datos.

A pesar que todo indica que el ataque fue realizado por RansomEXX, el investigador de seguridad italiano JAMESWT no está de acuerdo. Él declaró que hay evidencia de que el ataque fue realizado por LockBit 2.0 pero no compartió más información que apoye su afirmación.

¿Quién es RansomEXX?

La pandilla RansomEXX lanzó sus ataques originalmente bajo el nombre Defray en 2018. Sin embargo, en junio de 2020, la operación cambió de nombre a RansomEXX, donde comenzó a apuntar a grandes entidades corporativas de manera más activa.

Al igual que otras bandas de ransomware, RansomEXX vulnera una red utilizando vulnerabilidades o credenciales robadas.

Una vez que los atacantes obtienen acceso a una red, se propagan silenciosamente a través de la red mientras roban archivos no cifrados. Los ciberdelincuentes usan estos archivos para intentos de extorsión.

Después de obtener acceso al controlador de dominio de Windows, implementan el ransomware en la red para cifrar todos los dispositivos.

La banda RansomEXX tiene un historial de ataques de alto perfil. Estos incluyen las redes gubernamentales de Brasil, el Departamento de Transporte de Texas (TxDOT), Konica Minolta, IPG Photonics y la CNT de Ecuador.