El gobierno del Reino Unido considera tomar medidas contra los piratas informáticos rusos por el robo de registros del NHS | NHS
El gobierno está considerando tomar represalias contra los piratas informáticos rusos que han robado registros que cubren 300 millones de interacciones de pacientes con el NHS, incluidos los resultados de análisis de sangre para VIH y cáncer, según pudo revelar The Guardian.
La Agencia Nacional contra el Crimen (NCA) está evaluando la posibilidad de tomar represalias contra Qilin, la banda de ransomware con base en Rusia que puso en el dominio público el viernes temprano una gran cantidad de registros altamente sensibles del NHS que robaron en un ciberataque el 3 de junio.
Los jefes del servicio de salud de Londres, donde se centró el ataque, han respondido a la alarma generalizada que ha provocado la acción de Qilin creando una línea de ayuda para responder a las consultas de los pacientes ansiosos.
Han instado a los pacientes que puedan haber tenido detalles de la atención que recibieron de los fideicomisos del NHS y consultorios médicos de cabecera afectados en el sureste de Londres a “no comunicarse con su hospital local o consultorio médico de cabecera para preguntar si sus datos se han visto afectados por este ataque, ya que no tienen esta información”.
La acción de Qilin, que fue una indicación de que su demanda de un rescate de 50 millones de dólares (40 millones de libras esterlinas) había sido ignorada, ha provocado discusiones entre la NCA y el Centro Nacional de Seguridad Cibernética (NCSC) sobre cómo responder. Se cree que el centro de comunicaciones del gobierno, GCHQ, está al tanto de las conversaciones.
Una fuente con conocimiento de las opciones que se están explorando dijo: “Hay un equipo de especialistas (NCA) detrás de escena trabajando para acceder, comprender y eliminar los datos si es posible”.
La NCA está considerando tomar medidas para eliminar la mayor cantidad posible de datos que Qilin publicó en una plataforma de mensajería en las primeras horas de la mañana del viernes, agregó la fuente. “Eso se está investigando y se está investigando qué es lo que es posible. (Es probable que se tomen medidas porque) es efectivamente un ataque al estado”.
Fuentes de ciberseguridad dijeron que el impacto de cualquier operación para recuperar los datos o eliminarlos podría reducirse si la banda Qilin ya hubiera copiado los archivos y pudiera publicarlos en otro lugar.
Las fuerzas de seguridad del Reino Unido han sentado un precedente al enfrentarse directamente a las bandas de ransomware. Estas bandas representan un desafío para las autoridades porque se sabe que operan desde Rusia o desde antiguos estados soviéticos.
Sin embargo, la NCA recientemente interrumpió las operaciones del grupo de ransomware más grande del mundo, el grupo LockBit, en una operación conjunta con socios internacionales.
En febrero, la agencia dijo que había confiscado todo el aparato de “comando y control” de LockBit, incluido el sitio de filtración donde se mostraban los datos pirateados de las víctimas. La operación también tomó el control de la infraestructura detrás de la operación de ransomware como servicio de LockBit, en la que los afiliados alquilan el software malicioso, o malware, que se infiltra y desactiva los sistemas informáticos de las víctimas.
La operación se llevó a cabo conjuntamente con el FBI, Europol y una coalición de agencias policiales internacionales y condujo al desenmascaramiento del presunto líder de la banda, el ciudadano ruso Dmitry Khoroshev.
El viernes, The Guardian reveló que los piratas informáticos habían robado muchos más datos de los que se creían. Obtuvieron registros que abarcaban 300 millones de interacciones de pacientes con el NHS, incluidos los resultados de análisis de sangre para detectar el VIH y el cáncer.
El ataque ha causado graves trastornos en siete hospitales gestionados por el King's College Hospital Foundation Trust y el Guy's and St Thomas Foundation Trust, dos de los proveedores de atención sanitaria más importantes y con más actividad del sistema. Qilin tenía como objetivo Synnovis, una empresa conjunta entre el sector privado y el NHS que ofrece servicios de patología, como análisis de sangre y transfusiones. No está claro en este momento si el ataque afectó únicamente a los hospitales de esos fideicomisos o si fue más generalizado, ya que Synnovis también realiza trabajos para otros fideicomisos del NHS en otras partes de Inglaterra.
Los dos fideicomisos tuvieron que cancelar 1.134 operaciones previstasincluidas cirugías de cáncer y trasplantes, y posponer 2.194 citas para pacientes ambulatorios solo en los primeros 13 días después del ataque, dijo el jueves la región de Londres del NHS England.
Todavía no está claro exactamente qué datos, o qué parte del botín, ha hecho públicos el grupo de ransomware. Pero fuentes bien informadas dijeron que los datos robados incluían detalles de los resultados de análisis de sangre realizados a pacientes que se habían sometido a muchos tipos de cirugía, incluidos trasplantes de órganos; a aquellos sospechosos de tener una infección de transmisión sexual; y a aquellos que habían recibido una transfusión de sangre.
En un comunicado emitido el viernes, el Servicio Nacional de Salud de Inglaterra (NHS) dijo que la NCA y el NCSC estaban “trabajando para verificar los datos incluidos en los archivos publicados por los delincuentes. Estos archivos no son simples archivos que se pueden subir, por lo que las investigaciones de esta naturaleza son sumamente complejas y pueden tardar semanas, si no más, en completarse”.
Después de la promoción del boletín
Sin embargo, la cantidad y la naturaleza sensible de los datos obtenidos por Qilin, así como el hecho de que la banda haya hecho pública al menos una parte de lo que tomó, ha causado alarma entre los jefes del NHS.
El Servicio Nacional de Salud de Inglaterra advirtió que los pacientes podrían ser el objetivo de los delincuentes que buscan un rescate: “Siempre debe estar alerta ante las propuestas de cualquiera que diga tener sus datos y ante cualquier otra llamada o correo electrónico sospechoso, en particular si le piden que proporcione datos personales o financieros”.
Cualquier persona que sea contactada en relación con sus datos del NHS debe llamar inmediatamente a Action Fraud, agregó.
La “línea de ayuda para incidentes” del NHS se puso en funcionamiento el viernes y está disponible en el 0345 8778967.
Además, en un hecho que causará ansiedad entre los pacientes que han recibido atención médica privada en los últimos años, se cree que el botín de Qilin incluye registros de pruebas que las personas se han realizado en múltiples proveedores de atención médica privados. No está claro para qué empresas de atención médica privada trabaja Synnovis (una empresa conjunta entre la firma de patología Synlab y los dos fideicomisos de hospitales agudos de Londres) y si incluyen operadores de la variedad de hospitales privados de la capital.
El NHS está trabajando arduamente para transferir la atención que puede a otros proveedores y durante la última semana ha logrado aumentar la cantidad de análisis de sangre que puede realizar del 10% del número habitual al 30%.
El hecho de que Qilin haya excluido a Synnovis de su propio sistema informático significa que los hospitales y consultorios médicos afectados, que atienden a 2 millones de pacientes, todavía tienen que racionar severamente el acceso a los análisis de sangre. Solo pueden realizar el 30% de su número habitual.
Tim Mitchell, investigador principal de la empresa de ciberseguridad Secureworks, dijo que la publicación de los datos indicaba que el período de negociación había terminado. “En general, cuando se filtran los datos, las negociaciones sobre el ransomware ya han terminado”, dijo.
Synnovis no ha confirmado si ha mantenido conversaciones con Qilin.