¿Quiénes son los piratas informáticos que han dañado parte del sistema sanitario de Irlanda con ransomware?

El perfil de los hackers que tienen desconectar parte de las redes informáticas del sistema de salud irlandés en un ataque informático el viernes 15 de mayo, se está volviendo más claro. De acuerdo con el sitio web especializado Computadora de biping, que tomó una captura de pantalla de la nota de rescate enviada por los piratas informáticos, los sistemas informáticos de Health Service Executive (HSE) fueron atacados por un malware conocido como Conti.

El HSE se vio obligado a cerrar todo su sistema informático el viernes debido al ciberataque. La organización fue atacada por ransomware, un virus que infecta las redes y encripta todos los archivos en las computadoras, dejándolos inoperables. Este malware luego exige un rescate a su víctima, prometiendo desbloquear las computadoras infectadas a cambio del pago en bitcoin.

Software vendido a otros piratas informáticos

Según declaraciones del CEO de HSE, Paul Reid, y la demanda de rescate revelada por Computadora de biping, el servicio de salud pública irlandés fue golpeado por uno de los software más virulentos en ciberdelincuencia, Conti, diseñado por un grupo de ciberdelincuentes con el mismo nombre y particularmente activo durante un año.

Conti es uno de los jugadores más importantes en el mundo restringido de los operadores de ransomware, con 291 víctimas en su sitio web. Esto es “ransomware como servicio”, lo que significa que los creadores de este malware lo alquilan a otros ciberdelincuentes, “afiliados”, que luego lo utilizan para rescatar a sus víctimas y devolver parte de sus ganancias a los desarrolladores.

Como muchos grupos, Conti publica los datos robados de sus víctimas en su sitio web, para aumentar la presión después de la infección y para obligar a las empresas y administraciones afectadas a pagar el rescate. El sábado por la mañana, sin embargo, Conti aún no había mencionado HSE en su sitio web, según el Mundo.

Los operadores de ransomware son intrínsecamente difíciles de rastrear por parte de las autoridades, especialmente cuando varios grupos diferentes de piratas informáticos llevan a cabo ataques que utilizan el mismo virus. El análisis de la actividad de Conti muestra, sin embargo, que este grupo y sus “subsidiarias” no atacan a empresas o entidades ubicadas en Rusia y en algunos países de Europa del Este, lo que sugiere que estos piratas operan desde uno de esos países. Esta es una práctica común y muchos ransomware incluyen una función en su código que evita que el virus infecte una computadora rusa, por ejemplo.

¿Vínculos con otros ciberdelincuentes?

Lanzado en diciembre de 2019, Conti se convirtió rápidamente en un actor importante en el ciberdelito, recaudando decenas de millones de dólares en un año. En el primer trimestre de 2021, su ransomware fue el segundo más virulento del mundo, después del virus Sodinokibi, según informe de la empresa especializada Coveware. Durante este período, casi el 10% de las infecciones identificadas fueron causadas por Conti. En Francia, el grupo criminal ya ha cobrado cuatro víctimas en su sitio web solo en 2021.

Los expertos sospechan que existen vínculos entre Conti y otro peso en el ciberdelito: Ryuk. Es una variedad de ransomware que ha estado activo desde 2018 y que ha causado estragos en los Estados Unidos, llegando a los medios de comunicación, así como a hospitales, centros de salud y administraciones locales. En febrero pasado, fue este ransomware que había paralizado, por ejemplo, en Francia, Hospital Villefranche y Afnor.

Algunos investigadores de seguridad sospechan que Conti es solo una nueva variante de Ryuk, diseñada para ser distribuida y alquilado más ampliamente a otros ciberdelincuentes. En un informe publicado en febrero, la Agencia Nacional de Seguridad de los Sistemas de Información caminé con mucho cuidado sobre este tema, sugiriendo que si bien es posible que estos dos software hayan sido desarrollados por las mismas personas, también es posible que los vínculos entre Ryuk y Conti provengan de grupos de hackers que utilizan estas dos herramientas para sus ataques.