Pasar al contenido principal

Así 'secuestraron' los ciberdelincuentes los ordenadores del mayor grupo de hospitales de Europa, dueño de Quirónsalud, en plena pandemia de coronavirus

Fresenius.
REUTERS/Ralph Orlowski
  • El CCN-CERT ha publicado un análisis de un ransomware, un programa empleado en ciberataques para encriptar archivos y secuestrar ordenadores de empresas.
  • Las mafias que operan este tipo de programas piden después un rescate económico si la organización quiere recuperar el control sobre sus sistemas informáticos.
  • En este caso es una muestra de SNAKE, un tipo de ransomware que durante la pandemia de coronavirus ha centrado sus objetivos en empresas sanitarias.
  • Varios medios publicaron a finales de mayo que, ante la presunta negativa a pagar el rescate, SNAKE filtró en la dark web datos de los pacientes de la firma.
  • La compañía afectada en este caso fue Fresenius, uno de los mayores grupos hospitalarios de toda Europa y propietaria de Quirónsalud.
  • Descubre más historias en Business Insider España.

El CCN-CERT, el equipo de respuesta inmediata a incidencias informáticas del Centro Criptológico Nacional, ha publicado un análisis de un programa ransomware que infectó los ordenadores de Fresenius en mayo. Fresenius es el mayor grupo de hospitales privados de toda Europa. Se trata de una firma especializada en diálisis pero que en España, por ejemplo, es propietaria de los hospitales Quirónsalud.

El análisis del CCN-CERT, organismo dependiente del Centro Nacional de Inteligencia (CNI), disecciona una 'muestra' de este programa informático. Se trata de un ransomware. En otras palabras: es un virus capaz de infectar un ordenador —y todos los dispositivos conectados a la misma red— con un único propósito: encriptar todos los archivos que contengan.

Los ataques por ransomware permiten así a las mafias que operan este tipo de ciberataques el pedir un rescate económico si los usuarios quieren recuperar el acceso y el control a sus archivos. En 2020 se han detectado casos en los que si la víctima no coopera y no paga dicho rescate, los ciberdelincuentes comienzan a filtrar información sensible de su objetivo en la deep web. Fue el caso de EDP, una compañía eléctrica portuguesa a la que le pedían 10 millones de euros como rescate.

Leer más: El mejor 'cazador de ransomware' del mundo vive aislado y rodeado de cámaras en un lugar secreto en Reino Unido por las amenazas que recibe a diario de las mafias de ciberdelincuentes

En este caso el secuestro fue del sistema informático de Fresenius, si bien esta multinacional nunca lo ha confirmado públicamente. Medios como Bleeping Computer informaron del ataque, así como de la filtración de datos de pacientes y usuarios. Business Insider España remitió una consulta a Quirónsalud que nunca tuvo respuesta.

Ahora, el CCN-CERT explica en este análisis cómo opera este ransomware y cómo consiguió acceder a la red informática de la compañía.

Así atacó SNAKE a Fresenius

En este caso, el ransomware recibe el nombre de SNAKE, aunque también se le conoce como EKANS. "Durante el análisis se han encontrado evidencias que relacionan esta muestra de código dañino con el ataque ransomware sufrido por el grupo alemán del sector sanitario Fresenius", remarcan los expertos del CCN-CERT.

Estas evidencias, en concreto, se refieren a la ejecución pura del programa. Una vez se ejecuta el código del programa malicioso, el código comienza a ejecutarse resolviendo la dirección IP de Fresenius, con el objetivo de acceder al resto de dispositivos conectados al sistema.

La muestra en concreto está escrita en un lenguaje de programación, GoLang, que "no es común en el desarrollo de código dañino", aseguran desde el CCN-CERT. Pero "últimamente está siendo más utilizado por los atacantes, especialmente en Ransomware as a Service (RaaS)". El del RaaS es un fenómeno de lo más curioso: muchas mafias no desarrollan sus propios programas de ransomware, sino que se lo compran a terceros con quienes comparten las ganancias de sus ilícitos.

Leer más: Una peligrosa mafia de 'ransomware' se está ensañando con usuarios particulares: libera un 'antídoto' que en realidad es un programa que encripta de nuevo todos los archivos

Una de las principales conclusiones que saca el informe del CCN-CERT es que "los atacantes seguramente ya disponían de acceso a la red interna de la compañía antes de lanzar el ataque". Otra singularidad de este ataque con ransomware es que en este caso el programa malicioso es capaz de detener varios servicios del sistema operativo. En el documento, los expertos de la inteligencia española enumeran los procesos que el programa es capaz de cerrar mientras está encriptando los ficheros —aparecen, por ejemplo, varios antivirus del catálogo de Sophos o McAfee, entre otros—.

SNAKE ha tenido mucha repercusión en los últimos meses, ya que ha centrado sus objetivos en compañías sanitarias en plena pandemia de coronavirus.

Cuando termina de encriptar los archivos, el ransomware crea un fichero de texto en el escritorio con este mensaje:

"¿Qué le ha pasado a tus archivos?

Hemos accedido a tu red corporativa y cifrado toda la información de tus ordenadores. Los archivos encriptados incluyen documentos, bases de datos, fotos y mucho más. El encriptado se ha realizado con algoritmos militares. No puedes acceder a tus archivos ahora mismo. ¡Pero no te preocupes!

Todavía puedes recuperar tus archivos y trabajar en muy poco tiempo.

¿Cómo contactarnos para recuperar tus archivos?

La única manera de recuperar tus archivos es comprando una herramienta de descifrado con una clave privada que hemos creado para tu red.

Una vez se ejecute en un ordenador infectado, el programa descifrará todos los archivos encriptados, y podrás volver a tu trabajo diario y preferentemente con la ciberseguridad más presente. Si estás interesado en comprar esta herramienta, contacta con nosotros en —correo electrónico de los ciberdelincuentes—.

¿Cómo puedes asegurarte de que tenemos el programa desencriptador?

En el correo que nos envies, adjunta 3 ficheros no esenciales —de hasta 3MB, sin bases de datos—. Te los devolveremos descifrados.

¿Qué pasa si no contactas con nosotros en 48 horas o rechazas pagar el rescate?

Filtraremos todas las bases de datos sensibles y todos los documentos a los que hemos tenido acceso en tu red".

Y además