Desde que apareció por primera vez hace dos años, el grupo de ransomware Black Basta ha ganado rápidamente prominencia como una de las mayores amenazas para la ciberseguridad de las organizaciones de salud.
Se cree que la ciberbanda es una rama del grupo de ciberdelincuentes ruso notorio Conti. El grupo, responsable del masivo ciberataque sufrido por Ascensión el mes pasado, ha impactado a más de 500 organizaciones en todo el mundo, según un aviso de mayo de la Agencia de Ciberseguridad e Infraestructura (CISA).
A continuación se presentan tres piezas clave de información sobre el grupo de cibercriminales.
Los víctimas suelen tener menos de 2 semanas para pagar el rescate del grupo.
Black Basta, identificado por primera vez en abril de 2022, ha atacado a una amplia gama de organizaciones en América del Norte, Europa y Australia, según el aviso de CISA.
La banda de ransomware suele utilizar técnicas comunes para obtener acceso inicial a los sistemas de sus víctimas, como el phishing o explotar vulnerabilidades de software conocidas. A partir de ahí, Black Basta utiliza un enfoque de doble extorsión, lo que significa que encripta los sistemas de sus víctimas y exfiltra los datos.
Por lo general, las notas de rescate del grupo dan a las víctimas 10-12 días para pagar el rescate antes de publicar sus datos.
El grupo extorsionó más de $100 millones en su primer año y medio.
Un informe publicado por el servicio de seguimiento de moneda Elliptic y Corvus Insurance a fines de noviembre mostró que Black Basta había recolectado al menos $107 millones en bitcoins de más de 90 víctimas.
El pago promedio del rescate fue de $1.2 millones, según el informe. El pago de rescate más grande fue de $9 millones, y al menos 18 de los pagos superaron el millón de dólares.
La existencia de ciberbandas como Black Basta significa que los proveedores deben tomar más precauciones que nunca.
Cuando un gran proveedor de salud como Ascensión es golpeado por un ataque de ransomware, el personal a menudo implementa soluciones alternativas manuales para continuar la atención al paciente durante el incidente. Pero estas soluciones alternativas pueden crear riesgos de seguridad adicionales, dijo Joel Burleson-Davis, vicepresidente sénior de ingeniería y ciberseguridad mundial en la empresa de seguridad de identidad digital Imprivata, durante una entrevista reciente.
“Cuando los sistemas normales están comprometidos, los proveedores de salud pueden recurrir a métodos no seguros para acceder o compartir información de pacientes, como dispositivos personales o registros manuales”, explicó. “Estas prácticas pueden aumentar el riesgo de violaciones de datos y comprometer aún más la seguridad de los pacientes, ya que a menudo pasan por alto los protocolos de seguridad establecidos diseñados para proteger la información del paciente”.
Cuando un empleado se desconecta de la comunicación segura y/o servicios de terceros, puede recurrir a proporcionar información sensible como contraseñas o datos de pacientes a través de correos electrónicos, llamadas telefónicas o notas en papel.
Esto es arriesgado no solo porque los papeles pueden extraviarse y los teléfonos y correos electrónicos de los empleados pueden ser hackeados, sino también porque también ha habido informes de grupos cibercriminales como Black Basta que utilizan ataques de ingeniería social, incluido el phishing de voz, para obtener acceso a sistemas, declaró Burleson-Davis.
“Sin autenticación multifactorial u otros métodos de verificación de identidad, un miembro del personal que busque mantener el flujo de atención puede inadvertidamente abrir la organización a una explotación aún mayor al compartir información con una parte externa”, comentó.
Foto: WhataWin, Getty Images