Hackers están extorsionando a pacientes de una clínica de psicoterapia
Una reconocida clínica de psicoterapia en Finlandia está sometida a un gran estrés. Esto porque un actor de amenazas está pidiendo un rescate por una base de datos de clientes con información confidencial. La base de datos fue robada en una violación de datos que probablemente ocurrió hace casi dos años.
Miles de registros de pacientes pueden estar en riesgo ya que la clínica privada es reconocida a nivel nacional. La clínica cuenta con más de una docena de sucursales y otras instituciones contratan sus servicios.
El Centro de Psicoterapia Vastaamo anunció el incidente el miércoles pasado. En ese momento afirmaron que el extorsionista se comunicó por primera vez con tres de sus empleados en septiembre. Él está solicitando 40 bitcoins (actualmente más de $ 500,000) para no divulgar datos robados de pacientes.
El atacante amenazó con publicar los datos de los pacientes en un intento de obligar a la clínica a pagar el rescate y mantuvo su palabra. Desde el aviso público, filtró al menos 300 registros de pacientes en un sitio de la red de anonimato Tor, según una fuente local.
Extorsión a los pacientes
El incidente se intensificó aún más cuando el extorsionista comenzó a contactar a las víctimas por correo electrónico y pidió $240 en Bitcoin (200 euros). El monto solicitado es para eliminar sus registros.
Los mensajes tienen la línea de asunto “Información de la oficina de respuesta” y contienen la información personal del destinatario.
Es posible que se haya alentado al hacker a actuar así porque varias personas que encontraron el sitio de filtración se ofrecieron a pagar. Le ofrecieron un pago para eliminar su información de la base de datos robada. Para ellos, el chantajista estableció un precio de 0.05 Bitcoin (alrededor de $650), informó el periódico Ilta Sanomat.
El mismo periódico dijo que el atacante “escribe muy bien inglés” y que confía en servicios de correo electrónico orientados a la privacidad. Inicialmente, usó Tutanota, luego cambió a Protonmail y Cock.li, este último permite el registro y uso a través de Tor y servicios de privacidad similares.
En una conferencia de prensa el domingo, la Oficina Nacional de Investigaciones de Finlandia confirmó que la filtración. El número de registros de pacientes filtrados asciende a decenas de miles. Laura Halminen de Helsingin Sanomat pudo confirmar que el chantajista filtró al menos 2,000 registros de pacientes.
Según su informe, el extorsionista cargó por un breve tiempo un archivo de 10GB con información de pacientes de Vastaamo, incluidos nombres. Asimismo, números de seguridad social, direcciones postales y de correo electrónico, números de teléfono y notas de los terapeutas sobre las citas de los pacientes.
Brecha oculta previa a la adquisición
Vastaamo ha estado publicando actualizaciones sobre el incidente casi a diario desde la divulgación pública inicial. Antes de esto, la clínica informó al Centro de Ciberseguridad de Finlandia, Valvira, y al Comisionado de Protección de Datos.
Los hackers éticos en Finlandia también están ayudando a las autoridades, Están proporcionando a la policía cualquier rastro digital que encuentren sobre el extorsionista, como mensajes, capturas de pantalla de sitios y metadatos.
Los aspectos técnicos del ataque están siendo investigados por la empresa de ciberseguridad Nixu, quien descubrió que el incidente probablemente ocurrió en noviembre de 2018.
“Con base en las investigaciones ya determinamos una fecha probable del incidente. Parece probable que la filtración de datos que llevó al robo de la base de datos de los clientes ocurrió en noviembre de 2018”
Vastaamo
Esto significa que la información sensible de los clientes registrados después de la violación no se incluye en las filtraciones, aclara Vastaamo en sus notificaciones.
Otro incidente
Sin embargo, no fue la única intrusión. A mediados de marzo de 2019, se produjo otra infracción y el director ejecutivo lo supo. No obstante, decidió mantenerlo en secreto ante la Junta Directiva de la clínica privada, las autoridades y las personas afectadas.
Tras esta revelación, la Junta Directiva de Vastaamo relevó a Ville Tapio de su puesto de CEO en la compañía.
No está claro en este punto de la investigación si los hackers robaron la base de datos del cliente en ese momento. Sin embargo, existe la posibilidad de que el intruso haya visto o copiado la información.
La infracción de marzo dio lugar a pasos que corrigieron los problemas relacionados con la protección de la información de los clientes. Especialmente desde que PTK Midco iba a adquirir Vastaamo en mayo.
Como parte del proceso de adquisición, se encargó una auditoría externa de ciberseguridad en abril-mayo de 2019. No reveló ningún problema.
Según las actualizaciones de Vastaamo, la investigación de Nixu hasta ahora confirma que la infraestructura de la clínica no tenía vulnerabilidades de seguridad críticas. Es decir, la empresa, no sufrió un ciberataque después de marzo de 2019.
PTK Midcon, propiedad de la firma de capital privado Intera Partner, es el principal accionista de Vastaamo. Ellos comenzaron el litigio el lunes sobre el proceso de adquisición en mayo de 2019.
Vastaamo ofrece a las víctimas de la violación de datos soporte telefónico, y les aconseja qué hacer si su información privada se filtra en línea.