Ciberdelinqüents pro Putin han atacat quatre hospitals catalans, entre els quals el Clínic

Els hacktivistes han inclòs els centres mèdics en una campanya contra els països occidentals que ha detectat l'Agència de Ciberseguretat de Catalunya

Imatge d'arxiu d'un 'hacker'

Grups de ciberdelinqüents de l'òrbita russa han inclòs quatre hospitals catalans en la seva llista d'objectius i els han envestit amb atacs distribuïts de denegació de servei (DDoS). Ho han afirmat ells mateixos en els seus canals interns de comunicació, segons ha pogut comprovar l'ARA, i l'Agència de Ciberseguretat de Catalunya ha detectat els atacs. "Coincidint amb la guerra d'Ucraïna, grups hacktivistes pro Putin estan fent campanyes per sabotejar els sistemes d'hospitals occidentals, incloent-n'hi quatre de Catalunya", explica el consultor en seguretat informàtica José Nicolás Castellano. Ell va detectar els noms dels hospitals en una llista distribuïda en un canal intern d'un dels grups de pirates informàtics.

Els centres mèdics objectiu són l'Hospital Trueta de Girona i els hospitals Sant Pau, la Vall d'Hebron i Clínic de Barcelona. Encara que el Clínic és a la llista d'objectius, aquesta acció podria estar deslligada del ciberatac que ha deixat el centre noquejat aquesta setmana. El modus operandi és diferent, i segons el Govern aquest atac el va perpetrar un altre grup, RansomHouse, que reclama 4,5 milions de dòlars i no estaria vinculat amb el ciberactivisme en favor del Kremlin. Tot i això, Castellano admet que "és molta coincidència" que un mateix objectiu, i en concret un hospital, estigui sobre la taula de dues campanyes organitzades de ciberatacs tan properes. "També podria ser que els autors d'un atac i de l'altre s'haguessin passat informació, això per ara no es pot descartar", explica.

La campanya d'atacs dels grups pro Putin va començar el 28 de gener, segons ha detectat Castellano, i també apuntava contra els recursos web de l'Àrea Sanitària de Vigo, del Servei Gallec de Salut i l'Hospital Universitari Marqués de Valdecilla de Santander. L'expert assegura que continua en marxa i és una de les últimes dels grups pro Kremlin, conjuntament amb una enfocada contra institucions poloneses. L'Agència de Ciberseguretat, per la seva banda, confirma que els consta la notificació d'una amenaça el 31 de gener contra els quatre hospitals catalans que encaixa amb aquesta campanya.

En concret, arran d'aquell ciberatac, l'Agència va haver de bloquejar els accessos compromesos pels ciberdelinqüents, però fonts de l'ens governamental asseguren que "no van caldre més accions" perquè les seves mesures de protecció "van absorbir les afectacions". Fonts de l'Hospital Trueta també confirmen que el dia 28 de gener mateix van detectar un atac DDoS contra el servidor que els va dur a deixar la pàgina web "inactiva" durant unes hores, fins que no es va resoldre, però que l'Agència de Ciberseguretat el va detectar a temps i el va bloquejar.

Dos 'modus operandi' diferents

Els atacs DDoS perpetrats pels grups pro Putin es fan amb una xarxa d'ordinadors (sovint màquines zombi d'usuaris convencionals, controlades a distància amb malware sense que els seus propietaris ho sàpiguen) que demanen, a la vegada i de manera organitzada, informació a un mateix servidor fins al punt de superar la seva capacitat de lliurar-la. Així, busquen fer caure i bloquejar pàgines web i recursos que depenen de la xarxa. En canvi, l'atac al Clínic que el Govern atribueix a RansomHouse es va perpetrar amb un ransomware, un programa de segrest que s'escampa pels sistemes informàtics de la víctima, en xifra tota la informació fent-la inaccessible i exigeix un rescat econòmic a canvi d'alliberar-la.

Fonts de l'Agència situen en grup pro-rus Killnet com un dels autors de l'atac. Castellano confirma que és un dels que formen part de la campanya, perpetrada en coordinació amb altres col·lectius, com Anonymous Russia i Infinity Hackers By. Afegeix que Killnet és precisament el grup més violent dels que es van activar arran de la guerra d'Ucraïna per atacar interessos dels països de l'OTAN.

El col·lectiu Killnet és especialment actiu i algunes de les seves accions han tingut força ressò, com els seus atacs coordinats a països com Alemanya, Noruega, Romania, Lituània, Letònia i el Japó. Fins i tot se sospita que podrien estar darrere d'un atac DDoS contra la web d'Eurovisió durant una actuació ucraïnesa i que van interferir en les operacions de rescat després del terratrèmol al Kurdistan, Síria i Turquia.

Fonts de l'Agència de Ciberseguretat mantenen que el sistema de protecció amb què treballen ja bloqueja aquesta mena d'atacs de manera automàtica. Absorbeix uns 4,5 milions de ciberatacs al dia contra les entitats que protegeix i, d'aquests, normalment només un parell requereixen l'atenció d'algú perquè són persistents o podrien implicar un risc alt.

Els ciberatacs als hospitals augmenten la mortalitat

El sector sanitari es va convertir en un blanc prioritari de ciberatacs durant la pandèmia: el 2020 el 15% dels atacs informàtics que es van perpetrar al món eren contra aquest sector. L'últim trimestre de l'any passat el percentatge havia davallat fins al 8%, segons fonts de l'Agència. Però, així i tot, hi havia hagut un repunt en comparació amb la resta de l'any, amb un augment general del 64% respecte del primer trimestre del 2022, i en el cas dels atacs de ransomware va arribar al 175%. A Espanya es van detectar 4 atacs de ransomware contra hospitals durant tot el 2021, però l'any passat la xifra es va enfilar a 14.

A tot el món, segons dades recopilades per l'Agència, s'han confirmat mig miler d'incidents de ransomware en hospitals des del 2018 i ciberatacs a un total de 13.000 centres sanitaris que haurien afectat les dades de 49 milions de pacients. El cost total dels ciberatacs s'enfila als 92.000 milions d'euros i els més cars haurien implicat una despesa mitjana de 4,4 milions de dòlars, una quarta part per pèrdua de productivitat. El 20% dels centres mèdics afectats han detectat que una de les conseqüències dels ciberatacs és que han augmentat les taxes de mortalitat.

Dos de cada cinc hospitals impactats per un ransomware pateixen problemes per funcionar i un de cada quatre acaba aturant del tot les seves activitats durant un temps determinat. Segons les dades de l'Agència, més de la meitat dels centres triguen setmanes –i una quarta part fins i tot mesos– a recuperar del tot el funcionament operatiu. Els ciberatacs sovint fan que calgui allargar les estades dels pacients als hospitals, fan ajornar procediments mèdics i proves, que fins i tot poden donar resultats erronis, obliguen a derivar pacients a altres punts d'atenció, i poden afavorir que es trigui més del compte a donar una medicació. Molts centres (60%), a més, pateixen filtracions de dades delicades a la dark web.

stats