X63Unit de Cipher descubre ciberdelincuentes que amenazan la salud

El sector sanitario es uno de los principales blancos para los ciberdelincuentes. Según la Agencia de Ciberseguridad de la Unión Europea (ENISA), el 53% de los incidentes cibernéticos se dirigieron a proveedores de servicios sanitarios, siendo los hospitales el principal objetivo. Se calcula que alrededor de 40 millones de pacientes se han visto afectados por filtraciones de sus datos personales, historiales médicos y otras informaciones confidenciales durante el pasado año, récord histórico. Por todo ello, x63Unit, unidad de Cipher (división de ciberseguridad del Grupo Prosegur), ha analizado las vulnerabilidades que han explotado los cibercriminales en el sector de la salud para identificar su identidad y, de este modo, actuar de forma proactiva ante sus posibles ataques.

En 2023, los actores más destacados dentro del ámbito del ransomware fueron RansomHouse, Lockbit y Blackcat. RansomHouse se especializa en ataques que exponen vulnerabilidades críticas en la seguridad de datos, mientras que Lockbit se presenta como un adversario de alto riesgo debido a su constante evolución técnica. Blackcat, por su parte, aplica técnicas avanzadas en su modelo de ransomware-as-a-service para comprometer significativamente los sistemas.

Al mismo tiempo, las amenazas avanzadas persistentes, como FIN8, APT41 y APT22, enfocan sus esfuerzos en el espionaje. FIN8 está centrado en comprometer TPV para el robo de información financiera, APT41 lanza campañas de espionaje a nivel global que afectan a infraestructuras sanitarias críticas, y APT22 se especializa en ataques duraderos contra la investigación oncológica en servicios web públicos.

Para x63Unit, el hacktivismo, que combina hacking y activismo, cobra importancia con grupos como Killnet, ahora conocido como “Black Skills”, y Anonymous Sudán, quienes utilizan ataques de denegación de servicio distribuido (DDoS) para impulsar agendas políticas y sociales, impactando directamente servicios sanitarios esenciales.

Por otro lado, los ‘IAB’s (Initial Access Brokers por sus siglas en inglés), como Sapphire, Olive y Teal Cosmos Taurus, venden accesos que permiten a otros cibercriminales ejecutar ataques, con Sapphire especializándose en intranets de salud, Olive mostrando una actividad diversificada, y Teal Cosmos Taurus centrado en la venta de accesos a infraestructuras de investigación oncológica.

Finalmente, los vendedores de filtraciones como Jade, Violet y Bronze Cosmos Taurus se dedican a la divulgación no autorizada de información confidencial, comercializando desde credenciales hasta bases de datos de pacientes, poniendo en riesgo tanto a individuos como a entidades dentro de la infraestructura sanitaria.