Alder Hey Children’s NHS Foundation Trust de Liverpool ha revelado que un servicio compartido operado por él mismo y Liverpool Heart and Chest Hospital NHS Foundation Trust fue la fuente de una intrusión de INC Ransom que afectó los datos de los pacientes en ambos hospitales, así como en el Royal Liverpool University Hospital.
El ataque, que salió a la luz el 28 de noviembre, vio datos filtrados de los sistemas de TI de los Trusts, pero no está vinculado a un ataque de ransomware separado contra el Wirral University Hospitals NHS Foundation Trust, que se desarrolló unos días antes y se ha vinculado a el equipo de RansomHub.
En una actualización compartida el 4 de diciembre, Alder Hey dijo: “Los delincuentes obtuvieron acceso ilegal a datos a través de un servicio de puerta de enlace digital compartido por Alder Hey y Liverpool Heart and Chest Hospital.
“Esto ha dado como resultado que el atacante obtenga acceso ilegal a sistemas que contienen datos de Alder Hey Children’s NHS Foundation Trust, Liverpool Heart and Chest Hospital y una pequeña cantidad de datos del Royal Liverpool University Hospital.
The Trust dijo que su investigación sobre exactamente qué datos fueron robados está en curso, y esto puede llevar algún tiempo. Advirtió que existía la posibilidad de que la banda de ransomware publicara los datos antes de que se completara su investigación, una indicación de que se mantiene firme y resiste las demandas, al igual que la política del sector público en el Reino Unido.
“Tan pronto como podamos actualizar sobre el impacto en los datos de las personas, proporcionaremos una actualización adicional. Se continúa trabajando con la Agencia Nacional contra el Crimen para proteger los sistemas afectados y tomar medidas adicionales de acuerdo con el asesoramiento de las autoridades. También estamos siguiendo las pautas de la Oficina del Comisionado de Información y nos aseguraremos de que cualquier persona afectada por esta violación de datos sea contactada directamente y reciba apoyo”, dijo Alder Hey.
Además, enfatizó que sus servicios básicos de primera línea no se ven afectados y funcionan con normalidad: los pacientes aún deben asistir a las citas según lo programado.
El Trust añadió que sus esfuerzos de recuperación estaban logrando grandes avances. Decía: “Como parte de nuestra respuesta a esta amenaza, hemos avanzado en proteger los sistemas afectados y garantizar que los atacantes no tengan acceso continuo. Esto significa que estamos en condiciones de comenzar a reconectar nuestros sistemas cuando sea seguro hacerlo”.
¿Estuvo involucrado Citrix Bleed?
La afirmación de Alder Hey de que un servicio de puerta de enlace digital sirvió como punto de entrada para los operadores de INC Ransom parece confirmar informes anteriores, según Infoseguridad – que la pandilla atacó una instancia de Citrix operada por Trust.
Si este fuera el caso, la pandilla probablemente utilizó una vulnerabilidad crítica en los dispositivos Citrix NetScaler Application Delivery Controller (ADC) y Citrix NetScaler Gateway, rastreada como CVE-2023-4966, pero más comúnmente conocida como Citrix Bleed.
Descubierto a finales de 2023, Citrix Bleed permite tanto el secuestro de sesiones como la divulgación de datos. Es uno de los días cero más explotados de los últimos 12 meses y se ha utilizado ampliamente en ataques de ransomware, en particular en una serie de incidentes de alto perfil que involucran a la pandilla LockBit. Según la inteligencia de Secureworks, INC Ransom también se ha centrado en ello con gran entusiasmo.
Rafe Pilling, director de inteligencia de amenazas de la Unidad Contra Amenazas de Secureworks, dijo: “Las bandas criminales son oportunistas en la búsqueda del próximo pago, el impacto de sus acciones no es su preocupación. El hecho de que se trate de un hospital infantil altamente especializado no les quitará el sueño. Anteriormente hemos visto a GOLD IONIC, el grupo que opera el ransomware INC, atacar NHS Dumfries y Galloway. Estos ataques a la atención sanitaria de primera línea subrayan que este sector es un objetivo vulnerable y debe ser protegido.
“INC Ransom fue uno de los grupos de amenazas más activos que Secureworks CTU observó durante el año pasado y comenzó a operar en julio de 2023. Sus víctimas se encuentran predominantemente en los EE. UU., sin embargo, su alcance global está creciendo. Sus víctimas representan una amplia gama de sectores, pero los más comunes son las organizaciones industriales, sanitarias y educativas”.