X63 Unit revela ciberdelincuentes en el sector sanitario
El sector sanitario, crucial para las sociedades de todo el mundo, ha sido durante años uno de los principales objetivos de los ciberdelincuentes. Según un informe de la Agencia de Ciberseguridad de la Unión Europea (ENISA) en 2023, el 53% de los incidentes cibernéticos se dirigieron a proveedores de servicios sanitarios, con los hospitales como principales blancos.
Se estima que alrededor de 40 millones de pacientes se vieron afectados el año pasado por filtraciones de datos personales, historiales médicos y otra información confidencial, marcando un récord histórico. Las consecuencias de estos ataques son graves, no solo interrumpen el desarrollo normal de los servicios de salud, sino que también tienen un alto impacto económico, con el sector sanitario registrando las mayores violaciones de datos, a un coste de casi 11 millones de dólares.
Frente a esta amenaza, x63Unit, nuestra unidad especializada en ciberinteligencia, ha puesto su enfoque en identificar y analizar a los adversarios digitales del sector salud. Su objetivo es conocer las herramientas utilizadas por los ciberdelincuentes y las vulnerabilidades explotadas, para así ampliar las medidas de seguridad tradicionales y anticiparse a los posibles ataques.
La plataforma xMDR, desarrollada para enfrentar los desafíos de la ciberseguridad, ha identificado que, de un total de 90,755 vulnerabilidades y exposiciones comunes (CVEs), 68 están asociadas al sector sanitario.
En un reciente informe, al que puedes acceder desde aquí, x63Unit ha revelado quiénes son los principales responsables de los ciberataques en el sector sanitario en los últimos años:
- Ransomware: los actores más destacados en 2023 fueron RansomHouse, Lockbit y Blackcat. El primero destaca por su especialización en ataques dirigidos a exponer vulnerabilidades críticas en la seguridad de datos. Lockbit emerge como un adversario de alto riesgo por su constante evolución técnica. Mientras que Blackcat, implementando ransomware-as-a-service, utiliza técnicas avanzadas para comprometer sistemas de forma significativa.
- Amenaza Avanzada Persistente (APT): los grupos APT suelen enfocarse al espionaje y su misión principal suele ser extraer información sensible. FIN8, APT41 y APT22 representan las mayores amenazas de espionaje. FIN8 compromete sistemas de punto de venta para robar información financiera, APT41 ejecuta campañas globales de espionaje atacando infraestructuras críticas sanitarias, y APT22 se centra en la investigación oncológica, explotando vulnerabilidades en servicios web públicos.
- Hacktivismo: el término hacktivismo, fruto de la combinación de las palabras `hacking´ y `activismo´, se basa en el uso de la tecnología y la piratería informática, fundamentalmente, para promover causas sociales o políticas. Los grupos hacktivistas también se han centrado en el sector sanitario, principalmente en ataques de tipo DDoS (ataque de denegación de servicio distribuido), que pueden ser muy perjudiciales cuando afectan a servicios críticos. Grupos como Killnet, ahora “Black Skills”, y Anonymous Sudán, recurren a tácticas como DDoS para impulsar agendas políticas y sociales, afectando directamente a servicios sanitarios esenciales.
- IABs (Initial Access Brokers): estos actores venden accesos a empresas para que otros cibercriminales ejecuten sus ataques. Sapphire, Olive y Teal Cosmos Taurus son los más destacados, proporcionando accesos a redes internas de salud y otras infraestructuras críticas. Sapphire está especializado en intranets de salud, Olive muestra una actividad diversificada y Teal se centra en la venta de accesos a infraestructuras de investigación oncológica.
- Vendedores de Filtraciones: actores como Jade, Violet y Bronze Cosmos Taurus divulgan información confidencial, desde credenciales hasta bases de datos de pacientes, exponiendo tanto a individuos como a entidades del sector sanitario.
El sector sanitario, pilar fundamental de la sociedad, se enfrenta amenazas cibernéticas cada vez más sofisticadas. El informe de x63Unit detalla 68 vulnerabilidades clave dirigidas a sistemas de salud y mapea los riesgos asociados a actores como RansomHouse y grupos APT como FIN8. Esta inteligencia sobre amenazas permite desarrollar estrategias de prevención y acción temprana, mejorando las defensas y la resiliencia del sector sanitario frente a ataques. La información obtenida se traduce en una postura de seguridad más robusta, asegurando que los servicios de salud se mantengan seguros y eficientes.