La banda Ransomexx reivindica el ciberataque contra hospitales catalanes y filtra datos de pacientes

La banda Ransomexx ha reivindicado el ciberataque contra hospitales catalanes del pasado viernes mediante el virus Exx y ha filtrado un paquete de 54 gigas de información, el cual incluye datos de pacientes como documentos de identidad e historiales médicos.

Así lo ha confirmado la propia organización a través de su perfil en la deep web, donde ha colgado imágenes de volantes médicos y DNI que podrían pertenecer a usuarios y personal de los centros afectados. El vector de entrada ha sido, según los primeros indicios, una versión desfasada de Microsoft Exchange Server, un servidor de mail y un servicio de calendario desarrollado por el gigante estadounidense.

Segundo golpe sanitario

El ciberataque se produjo el pasado viernes, 7 de octubre, cuando los ordenadores del sistema informático de todos los servicios del Consorci Sanitari Integral (CSI), que aglutina 13 centros sanitarios, entre ellos tres de Barcelona y su área metropolitana, quedaron casi inoperativos.

Entre ellos, tres equipamientos hospitalarios resultaron afectados: el Dos de Maig de la capital catalana, el Moisès Broggi de Sant Joan Despí y el Hospital General de L'Hospitalet. En concreto, estos centros solo pudieron preservar su servicio de urgencias. Se trata del segundo golpe a la red del CSI, que ya en septiembre de 2020 sufrió una grave incidencia del mismo tipo.

Ataque 'ransomware'

El virus utilizado por Ransomexx es de tipo ransomware, uno de los malwares favoritos de las organizaciones de ciberdelincuentes para poner contra las cuerdas a empresas y entidades públicas. Se trata de un programa malicioso que encripta de forma compleja los datos de sus objetivos, de forma que no puedan acceder a los mismos.

Los piratas suelen solicitar una compensación económica a cambio de la entrega de las claves necesarias para descifrar la información. Es habitual que los delincuentes extorsionen a las víctimas con revelar contenidos sensibles de los usuarios, como ha sucedido con el ataque a los hospitales catalanes.

Chantaje 'cripto'

En caso de que se exija una cantidad de dinero a cambio de la información, los delincuentes priorizan en criptomonedas para dificultar su rastreo. Aunque las fuerzas de seguridad y los especialistas en ciberseguridad recomiendan no entrar en negociaciones con los atacantes.

"Accediendo al chantaje de los ciberdelincuentes solo se potencian las mafias y la ciberdelincuencia para tener contra las cuerdas a las empresas. La mejor forma es la prevención mediante copias de seguridad fiables, las actualizaciones del fabricante y productos que ayuden a combatir las amenazas procedentes de los ciberdelincuentes", ha explicado Nicolás Castellano, fundador de la firma Andubay y organizador del encuentro NoConName.

¿Quién es Ransomexx?

En el apartado tecnológico, Exx es la evolución de un malware anterior denominado Defray777 lanzado en 2018. En 2020, la banda detrás de Exx realizó una serie de infiltraciones contra compañías y Administraciones públicas que lo hicieron saltar a la fama junto a las creaciones de otros grupo como Conti y Lockbit.

En marzo de este año, la organización criminal se arrogó la autoría del ataque contra una fundación escocesa de salud mental.