El proveedor de software de gestión empresarial Advanced ha revelado que un total de 16 clientes en el sector de la salud y la atención social vieron comprometidos sus datos en un ataque de ransomware en sus sistemas que tuvo lugar en agosto de 2022, y ahora se ha descubierto que es obra de Lockbit. Pandilla de ciberdelincuencia 3.0.
Las organizaciones anónimas involucradas eran todas usuarias de los servicios Caresys y Staffplan de Advanced. Caresys es un paquete de software de gestión de residencias de ancianos que admite tanto la atención de primera línea como las funciones administrativas para operadores de residencias de ancianos, mientras que Staffplan es un paquete de software de gestión de turnos de atención que admite proveedores de atención domiciliaria móvil. Todos los clientes afectados han sido notificados y están recibiendo soporte.
El ataque en sí comenzó el 2 de agosto y se identificó el 4 de agosto, momento en el que el equipo de seguridad de Advanced desconectó todo su entorno de Salud y Atención para contener la amenaza y limitar su impacto. El resultado de esto fue que muchos otros servicios se desconectaron, incluidos los utilizados por las organizaciones de primera línea del NHS.
El mayor impacto observado fue para los usuarios del software de gestión de pacientes clínicos Adastra de Advanced, que sustenta la mayoría de los servicios 111 del NHS, pero los servicios para pacientes en muchos otros organismos del NHS y proveedores de atención médica se vieron interrumpidos, y muchos tardaron semanas en recuperarse.
Advanced dijo que el equipo de Lockbit 3.0 accedió a su red utilizando un conjunto legítimo de credenciales de terceros para establecer una sesión de protocolo de escritorio remoto (RDP) en un servidor Staffplan Citrix. Desde allí, pudieron moverse lateralmente a través del entorno de Salud y Atención de la organización para escalar sus privilegios e implementar el ransomware. Inmediatamente antes de ejecutar el ransomware y cifrar los sistemas de Advanced, la pandilla exfiltró una cantidad “limitada” de datos. No reveló si alguno de estos datos se relaciona con algún paciente.
“Pudimos recuperar la cantidad limitada de datos obtenidos de nuestros sistemas y creemos que la probabilidad de daño a las personas es baja”, dijo la compañía en un nuevo comunicado.
“Esto se basa en la considerable experiencia de nuestro proveedor experto en inteligencia de amenazas con casos de esta naturaleza y en el hecho de que no hay evidencia que sugiera que los datos en cuestión existen en otro lugar fuera de nuestro control. Sin embargo, estamos monitoreando la web oscura como una medida de cinturón y aparatos ortopédicos y le informaremos de inmediato en el improbable caso de que esta posición cambie.
La firma agregó: “Hemos estado y seguimos estando en contacto con el ICO, el NHS, el Centro Nacional de Ciberseguridad (NCSC) y la Agencia Nacional del Crimen para proporcionar actualizaciones regulares sobre el estado de este incidente.
“Nuevamente, Advanced ahora ha notificado a todos los controladores de datos afectados. Si no lo contactaron, sus datos no se copiaron del entorno”.
Advanced dijo que sus equipos han estado trabajando las 24 horas para que sus sistemas y clientes vuelvan a funcionar, pero que la naturaleza de los controles de cumplimiento y garantía que se exigieron para respaldar los servicios utilizados por el NHS se ha sumado a ese tiempo.
“A medida que aprendimos más sobre este proceso de garantía y lo ajustamos en tiempo real para cumplir con ciertos requisitos, tomó más tiempo de lo esperado, lo que afectó nuestro cronograma de recuperación general. Hemos priorizado la seguridad y la protección durante cada paso de nuestro proceso de recuperación”, dijo la compañía.
“Nuestros entornos de salud y atención más allá de Adastra y 111 también requerirán verificaciones de cumplimiento adicionales, escaneo y pasar por los mismos procesos de garantía. Esto requiere mucho tiempo y recursos, y continúa contribuyendo a nuestra línea de tiempo de recuperación. A medida que trabajamos a través de los sistemas de escaneo y compensación, en paralelo continuamos evaluando y/o desarrollando planes de recuperación para los productos afectados restantes.
“Estamos trabajando diligentemente y utilizando todos los recursos, incluidos especialistas externos en recuperación, para ayudarnos a restaurar los servicios a nuestros clientes lo más rápido posible y, mientras tanto, brindando extractos de datos y ayudando con la planificación de contingencia según corresponda”.
Advanced también ha implementado una serie de medidas mejoradas de seguridad cibernética, incluido el análisis de indicadores identificados de compromiso (IoC), la instalación de agentes de monitoreo, detección y respuesta en tiempo real, el restablecimiento de todas las contraseñas, la reconstrucción y el fortalecimiento de los sistemas comprometidos, la introducción de una segmentación de red mejorada y reforzar las reglas del cortafuegos.