El sector de la salud es uno de los más importantes en lo que a ciberseguridad se refiere por las consecuencias que puede tener cualquier tipo de incidente. Las últimas informaciones apuntan que los ciberdelincuentes han puesto a prueba la resiliencia de este sector en Rumanía, donde más de 100 hospitales y centros médicos en el país han sido víctimas de un ataque de ransomware de rápida propagación.
La Dirección Nacional de Ciberseguridad de Rumanía (DNSC) ha identificado el origen del ransomware en el Sistema de Información Hipócrates (HIS), una plataforma de gestión de atención médica integrada comercializada por la Compañía Soft Rumana (RSC).
El incidente se ha propagado como un efecto dominó afectando inicialmente al Hospital Pediátrico de Pitești el 10 de febrero, con posteriores ataques a otros hospitales pasando el 11 y 12 de febrero. Hasta el momento, los datos de 25 hospitales han sido cifrados y otros 75 centros de atención médica que utilizan el HIS también han tomado medidas preventivas desconectando sus sistemas para evitar ser infectados.
Los atacantes de estos incidentes en Rumanía, aún no identificados, implementaron el malware Backmydata, pariente del conocido ransomware Phobos, y exigieron un rescate de 3.5 BTC, lo que son unos 157.000 euros.
Los ataques se centraron en el Sistema de Información Hipócrate (HIS) empleado por los hospitales para la gestión de la actividad médica y los datos de los pacientes. Los ciberdelincuentes no solo cifraron la base de datos del sistema, sino que también lo desconectaron completamente, paralizando efectivamente las operaciones hospitalarias.
La situación ha llevado a un cambio drástico en la operación de las instalaciones médicas afectadas. Mirela Grosu, directora del Instituto Regional de Oncología, ha explicado que, tras el cierre de 400 ordenadores y servidores, las actividades se han tenido que llevar a cabo principalmente en papel.
El grupo de ciberdelincuentes responsable se desconoce
Según informes de medios locales, el mensaje de demanda de rescate dejado por los atacantes no identificaba a ningún grupo específico como responsable. En lugar de ello, se proporcionó únicamente una dirección de correo electrónico para la comunicación, un método típicamente utilizado por los ciberdelincuentes para negociar el pago del rescate sin revelar su identidad.
Las autoridades han emitido una importante recomendación a hospitales afectados y a la comunidad en general: no contactar ni pagar a los atacantes. En su lugar, se aconseja a los hospitales que aíslen los sistemas comprometidos, conserven cualquier prueba, restauren los datos a partir de copias de seguridad disponibles y actualicen el software para prevenir futuros ataques.
El Ministerio de Salud de Rumanía confirma que el incidente está siendo investigado por especialistas en TI, incluidos expertos en ciberseguridad de la DNSC.
Además, se están evaluando las posibilidades de recuperación y se han activado medidas de precaución excepcionales para los hospitales que aún no han sido afectados por el ataque para intentar salvaguardar la integridad de la infraestructura médica del país frente a esta amenaza sin precedentes.
Recuperación de los sistemas afectados
La DNSC ha informado que la mayoría de los hospitales afectados disponían de copias de seguridad de los datos de los servidores comprometidos, con datos guardados recientemente (hace 1-2-3 días), excepto uno, cuyos datos se guardaron hace 12 días.
Esta situación abre la puerta para que la restauración de sistemas sea más fácil en el caso de los servicios y los datos afectados, aunque el proceso de recuperación puede ser complejo y costoso.
El ransomware, que bloquea el acceso a los sistemas informáticos hasta que se paga un rescate, representa una amenaza particularmente importante para los hospitales, ya que puede obstaculizar el acceso a registros médicos vitales, retrasar procedimientos médicos y, en última instancia, poner en riesgo las vidas de los pacientes.