La xarxa Tor (acrònim de The Onion Router) està pensada per permetre la navegació anònima i la fan servir, per exemple, els qui busquen evitar la censura i les mesures de control en règims autoritaris que monitoritzen internet. Mitjançant Tor el trànsit d'internet es dirigeix a través d'una xarxa de milers de nodes mantinguts per voluntaris que permeten amagar l'adreça IP que identifica qualsevol internauta. Així, es xifren les dades dels usuaris en diverses capes (d'aquí la referència a onion, ceba en anglès, al seu nom) i s'envien a través de diversos nodes a l'atzar abans que arribin a la destinació final. Tor no és l'única xarxa que forma part de l'anomenada dark web (internet fosca), però és probablement la més coneguda, i també la fan servir criminals i ciberdelinqüents per amagar el rastre de les seves activitats a la xarxa o comprar i vendre serveis delictius.
Els Mossos fan caure la pàgina dels ciberdelinqüents de l'Hospital Clínic
La policia catalana havia anunciat un ciberatac contra el portal de RansomHouse a la 'dark web'
BarcelonaEl ciberatac que van anunciar els Mossos d'Esquadra contra la pàgina a la dark web dels ciberdelinqüents que van atacar l'Hospital Clínic de Barcelona ha funcionat, segons la policia catalana. L'ARA ha comprovat que la pàgina del grup RansomHouse a la xarxa Tor ja no està disponible i quan s'hi intenta accedir només apareix un missatge que diu que el portal està "desactivat" (a la imatge), fet que concorda amb aquesta afirmació. En aquest portal és on els ciberdelinqüents que van perpetrar l'atac de ransomware al Clínic distribuïen una part de les dades internes del centre i la informació de pacients i treballadors que hi van robar.
Dijous, l'endemà que es comencessin a difondre les dades robades al portal de RansomHouse a la dark web, el cap de la comissaria d'investigació criminal dels Mossos d'Esquadra, Ramon Chacón, va anunciar en una roda de premsa que farien un ciberatac de denegació de servei contra la pàgina dels ciberdelinqüents. Els atacs de denegació de servei més habituals avui en dia són de tipus distribuït (DDoS). Normalment, els perpetren hacktivistes i ciberdelinqüents, que utilitzen xarxes d'ordinadors (sovint d'usuaris convencionals, infectats amb malware sense que ho sàpiguen) i demanen, a la vegada i de manera coordinada, informació d'un servidor fins que superen la seva capacitat de lliurar-la. Així, busquen fer caure i bloquejar pàgines web i recursos que depenen de la xarxa. Paradoxalment, el Clínic i tres hospitals catalans més han estat víctimes fa poc d'atacs DDoS per part de ciberdelinqüents pro Putin. Els Mossos d'Esquadra no han donat detalls tècnics de com ho han aconseguit, en aquest cas, però en tot cas és la primera vegada que executen un ciberatac com aquest.
El grup RansomHouse va publicar en aquest portal entre 3 i 4 gigues d'informació del total de 4,5 terabytes (4.500 gigues) que asseguraven que havien pogut robar de l'hospital. Entre la informació filtrada hi ha DNIs escanejats, noms, telèfons, adreces, números de comptes bancaris, contractes laborals i anàlisis de tota mena, com ara electrocardiogrames, identificats amb el nom i els cognoms dels pacients. La previsió era que no s'aturés aquí. Dijous, en una roda de premsa, el director de l'Agència de Ciberseguretat de Catalunya, Tomàs Roy, va afirmar que RansomHouse estava seguint "el modus operandi habitual". I, per tant, preveia que "en un temps de potser dues setmanes" es tornessin a publicar dades robades i que d'aquí un o dos mesos RansomHouse difongués a la dark web tota la informació robada al centre mèdic. Els grups de ransomware practiquen la doble extorsió: exigeixen diners per alliberar els sistemes que han inutilitzat amb el ciberatac i també per no difondre les dades que han robat. L'Hospital Clínic sempre ha deixat clar que no pagaria els 4,5 milions de dòlars que reclamen els ciberdelinqüents.
Per aturar la filtració de dades i prevenir que continués, Chacón va anunciar que preparaven el ciberatac contra la pàgina de RansomHouse. A més, va explicar que mitjançant peticions internacionals ja havien aconseguit bloquejar dos servidors a l'estranger que contenien informació robada al Clínic. Ara caldrà veure si el ciberatac es pot mantenir i si els ciberdelinqüents prenen alguna mesura de resposta, com ara aixecar una nova pàgina per continuar publicant filtracions. Cal tenir en compte que en aquesta web no només s'hi difonien les dades robades al Clínic, sinó també les de moltes altres entitats d'arreu del món víctimes d'aquest grup que opera a escala internacional, i que el ciberatac no ha fet desaparèixer la informació robada, que continua en mans de RansomHouse.