Atacs de 'ransomware': què són, què fan i quin perill impliquen?

Grups com el relativament nou Ransomhouse, darrere del ciberatac al Clínic, venen les dades personals que aconsegueixen

Com ens podem protegir  dels ciberatacs en temps  de coronavirus
07/03/2023
3 min

BarcelonaEl ciberatac patit aquest diumenge per l'Hospital Clínic, que ha obligat a aturar gran part del funcionament del centre, ha estat de tipus ransomware, el mateix que a l'octubre va colpejar tres centres sanitaris catalans i que va suposar la publicació de 52 gigues de dades personals i sensibles dels usuaris. En què consisteix aquest tipus d'atac? Qui hi ha al darrere? Quin és el perill d'exposar dades de tipus mèdic? En parlem amb experts en ciberseguretat.

Què són els atacs ransomware?

Són un tipus de ciberatacs que consisteixen a segrestar tota la informació possible d'una empresa o institució, xifrar-la i exigir-ne un rescat. "Estem parlant de documents de Word i Excel, fotografies, vídeos... Si es vol accedir a aquestes dades, cal pagar", explica Jordi Serra, professor de la UOC i expert en ciberseguretat, que afegeix que normalment els atacants acostumen a deixar un fitxer, a manera de "targeta", explicant qui són i com se'ls ha de pagar si es volen recuperar les dades. És un "xantatge" amb l'objectiu d'aconseguir diners, resumeix.

Qui hi ha al darrere d'aquests atacs?

Jordi Herrera, professor d'enginyeria de la informació i les comunicacions de la UAB, explica que "normalment són organitzacions criminals a gran escala, empreses que es dediquen a fer atacs informàtics per lucrar-se". Sovint estan actius uns anys i "desapareixen" quan els enxampen o quan han cobrat per un rescat, afegeix Serra.

Què és Ransomhouse?

El grup que el Govern i el Clínic han identificat al darrere de l'atac a l'hospital, Ransomhouse, és "relativament nou", segons Serra. "El primer atac seu que consta a la deep web és del 2021. El 2022 en tenen uns quants i el 2023, dos o tres. El del Clínic encara no està publicat", precisa. Segons ha informat el director general de l'Agència de Ciberseguretat de Catalunya, Tomàs Roy, els atacants han actuat des de fora de l'Estat i amb "tècniques noves". Tot i haver-los identificat, encara no s'haurien posat en contacte amb el Clínic per exigir un rescat.

Quina quantitat de diners s'acostuma a reclamar?

Els diners que s'exigeixen a canvi del retorn de les dades segrestades pot variar molt en funció del cas. "Depèn molt del tipus d'empresa. Els atacants estudien abans quan pot arribar a pagar", apunta Serra, que deixa clar que els rescats poden anar perfectament des dels 4.000 o 5.000 euros fins al milió d'euros o més.

És recomanable pagar el rescat?

El Govern ha garantit que, en el cas del Clínic, "no hi haurà cap mena de negociació per pagar ni un cèntim". I és que, segons els experts consultats, no és recomanable pagar els diners exigits pels ciberdelinqüents. Si Herrera afirma que "no es pot tenir la certesa que pagant recuperaràs res", Serra destaca que, encara que amb el pagament es retornin les dades, els atacants "veuen que pots pagar fàcilment" i "ningú t'assegura que uns dies després tornin a fer el mateix".

Quin és el perill que es difonguin dades personals?

Les dades segrestades, en aquest cas mèdiques, es poden acabar venent al dark web, on els grups dedicats a la ciberdelinqüència "en compren i venen entre ells", explica Serra. El motiu: "Fer campanyes de phishing, per exemple. Si coneixes la patologia d'una persona, és més fàcil que cliqui en un correu personalitzat. I d'aquí es podria accedir al seu ordinador, al seu banc...". "També et permet fer atacs més sofisticats: si es troben contrasenyes d'una persona en un lloc, pot ser que utilitzi les mateixes en uns altres", afegeix Herrera.

Quant temps es triga a recuperar el sistema atacat?

L'Hospital Clínic ha assegurat que disposa de còpies de seguretat de la informació bloquejada, si bé el sistema informàtic del centre continua afectat i, ara per ara, no és clar quan recuperarà el seu funcionament habitual. "Els atacs de ransomware són relativament fàcils de mitigar si tens còpies, però llavors cal identificar el punt d'entrada pel qual s'ha atacat el sistema", explica Herrera. Hi coincideix Serra, que destaca que "absolutament tot, estigui xifrat o no, està compromès" després d'un atac com aquest. "El primer que es fa és no tocar absolutament res fins a saber per on han entrat els atacants i tancar aquesta porta. Si no ho fem, el forat continuarà sent-hi", remarca. Segons els experts, aquest procés sol durar entre uns dies i una setmana.

Es poden prevenir aquests atacs?

Per a Serra, no hi ha manera de prevenir al 100% un ciberatac a una empresa o institució. "Tothom té una porta a Internet i, com a casa, pots tenir una porta més bona o més dolenta, però és una qüestió de temps que s'hi pugui entrar". El que sí que es pot fer, afegeix, és estar previngut per actuar "ràpidament" si es produeix l'atac. A parer seu, cada cop més empreses i administracions inverteixen en ciberseguretat, si bé no sempre hi estan disposades. "El retorn de la inversió en elements de seguretat informàtica no està tan clar fins que hi ha un desastre", sentencia Herrera, que també apunta a la falta de formació de tècnics en ciberseguretat.

stats