Un hospital pagó a un grupo de ransomware $670 mil para evitar fuga de datos

El University Hospital New Jersey (UHNJ) en Newark, Nueva Jersey, pagó una demanda de ransomware de $670,000 este mes. El pagó lo realizaron para evitar la publicación de 240 GB de datos robados, incluida la información de pacientes.

El ataque al hospital ocurrió a principios de septiembre por una operación de ransomware conocida como SunCrypt. El ransomware se infiltra en una red, roba archivos no cifrados y luego cifra todos los datos.

Después de que los operadores de SunCrypt publicaran un archivo de 48,000 documentos pertenecientes a UHNJ, el hospital actuó. Un representante del hospital se puso en contacto con los actores de la amenaza a través de su portal de pago de la web oscura. Los contactaron para negociar el cese de cualquier publicación adicional de datos de pacientes.

Pagaron para proteger los datos de sus pacientes

En una conversación entre el hospital y los operadores de ransomware, podemos vislumbrar la negociación extrañamente cordial de una demanda de rescate criminal.

Después de que se publicara una muestra de datos privados robados del hospital en el sitio de filtración de datos de SunCrypt el hospital actuó. El hospital se puso en contacto con los actores de la amenaza a través de su sitio de pago en Tor. Ahí les dijeron que el rescate era de 1.7 millones de dólares. Los atacantes les dijeron que este rescate, sin embargo, “es negociable debido a la situación del COVID-19“.

Como UHNJ tenía dos servidores cifrados, se preocuparon más por la liberación de los datos de los pacientes. El hospital estaba dispuestos a pagar un rescate para evitar que se divulgaran más datos.

Negociaciones

“Queremos evitar más filtraciones de nuestros datos y es por eso que estamos aquí hablando con ustedes”, dijo UHNJ al operador de ransomware.

No está del todo claro qué información estaba contenida en los archivos robados. No obstante, los operadores de ransomware afirmaron tener “escaneos de identificación, fecha de nacimiento, SSN, tipo de enfermedad”.

Después de una serie de negociaciones y ofertas, acordaron un rescate de $672,744, o 61.90 bitcoins.  El hospital envió un pago a la dirección de bitcoin dada.

El blockchain de bitcoin muestra que se enviaron 61,9 bitcoins a la dirección de bitcoin de la operación de ransomware el 19 de septiembre.

Después de que se completaron las negociaciones, el operador de ransomware le dijo a UHNJ: “Usted también hizo un gran trabajo. Se merece nuestra administración “.

Como parte de las negociaciones, los operadores de ransomware acordaron proporcionar un descifrador. También devolvieron los datos robados, un informe de seguridad y un acuerdo para no revelar ningún dato robado o atacar a UHNJ nuevamente.

Según el informe de seguridad recibido por UHNJ, su red se vio comprometida después de que un empleado cayera en una estafa de phishing. El empleado proporcionó sus credenciales de red.

Los operadores de ransomware usaron estas credenciales de red robadas para iniciar sesión en el servidor Citrix de UHNJ y obtener acceso a la red.

Hemos contactado con UHNJ por teléfono y correo electrónico para obtener comentarios antes de publicar este artículo, pero no recibimos respuesta.

SunCrypt afirma que ya no apuntarán a hospitales

En marzo, cuando la pandemia de coronavirus aumentaba en todo el mundo, algunos grupos de ransomware dijeron que no atacarían a las organizaciones médicas.

Los operadores de ransomware CLOP, DoppelPaymer, Maze y Nefilim declararon que no apuntarían a hospitales y descifrarían gratis cualquier cifrado por error.

El ransomware Netwalker fue el único que respondió que cualquier organización, incluido un hospital cifrado, tendría que pagar.

El periodista de filtración de datos ‘Dissent Doe’ de Databreaches.net informó recientemente que se comunicaron con SunCrypt. Se comunicaron después de notar que los datos de UHNJ fueron eliminados del sitio de filtración de datos de ransomware.

En una conversación, los operadores de ransomware SunCrypt le dijeron a Dissent Doe que ya no apuntarían a las organizaciones de atención médica.

“No jugamos con la vida de las personas. Y no se llevarán a cabo más ataques contra organizaciones médicas, incluso de esta manera suave”.

Afirmaciones de SunCrypt a databreaches.net.

Desafortunadamente, esto llega demasiado tarde para UHNJ.

Deja un comentario