AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ransomware contra Synnovis: Filtración de datos de pacientes tras ataque en Reino Unido

admin

Introducción

El sector sanitario británico se enfrenta a una nueva crisis de ciberseguridad tras el reciente ataque de ransomware sufrido por Synnovis, uno de los principales proveedores de servicios de patología en Reino Unido. El incidente, detectado en junio de 2024, ha derivado en la filtración y potencial exfiltración de datos sensibles de pacientes, reavivando el debate en torno a la resiliencia de las infraestructuras críticas ante amenazas avanzadas. Este artículo analiza en profundidad el contexto, los detalles técnicos y las repercusiones para el sector sanitario, así como las medidas recomendadas para mitigar la exposición a estos riesgos.

Contexto del Incidente

Synnovis, empresa resultado de la colaboración entre Guy’s and St Thomas’ NHS Foundation Trust, King’s College Hospital NHS Foundation Trust y Synlab UK & Ireland, gestiona servicios de laboratorio y patología para hospitales del NHS en Londres y el sudeste de Inglaterra. El 3 de junio de 2024, Synnovis detectó actividad anómala en sus sistemas, desencadenando una investigación interna y la activación de sus protocolos de respuesta ante incidentes.

Poco después, el grupo de ransomware ruso Qilin reivindicó el ataque, afirmando haber cifrado los sistemas e iniciado la exfiltración de datos confidenciales. Como consecuencia inmediata, numerosos hospitales vieron interrumpidas sus operaciones de análisis, afectando directamente a la atención de miles de pacientes en la región.

Detalles Técnicos

El ataque ha sido asociado con el despliegue de la variante de ransomware Qilin, también conocida por sus campañas dirigidas a infraestructuras críticas y su modus operandi basado en la doble extorsión: cifrado de información y amenaza de publicación o venta de datos robados.

CVE y vectores de ataque

Aunque Synnovis no ha revelado públicamente el punto de entrada inicial, expertos en amenazas y telemetría han detectado explotación activa de vulnerabilidades conocidas en servicios de acceso remoto, como CVE-2023-34362 (MOVEit Transfer) y CVE-2024-23897 (vulnerabilidad en Jenkins) en campañas recientes de Qilin. Se especula que el acceso inicial pudo lograrse mediante credenciales comprometidas de RDP o explotación de algún zero-day en aplicaciones expuestas.

Técnicas, Tácticas y Procedimientos (TTP)

De acuerdo con el framework MITRE ATT&CK, el grupo Qilin emplea tácticas de:

– Initial Access: Spear phishing, explotación de servicios expuestos y credenciales comprometidas (T1190, T1078).
– Privilege Escalation: Uso de herramientas como Mimikatz para el volcado de credenciales (T1003).
– Lateral Movement: RDP y SMB para desplazamiento lateral dentro del entorno (T1021).
– Exfiltration: Compresión y transferencia de archivos mediante protocolos cifrados (T1041).
– Impact: Cifrado masivo con herramientas propias y borrado de snapshots para dificultar la recuperación (T1486, T1490).

Indicadores de Compromiso (IoC)

– Hashes de ficheros Qilin ransomware detectados en VirusTotal.
– Comunicación a dominios C2 asociados a Qilin (.onion y direcciones IP específicas).
– Proceso de cifrado ejecutado desde cuentas con privilegios elevados.

Impacto y Riesgos

El impacto ha sido inmediato y severo: interrupción de los servicios de laboratorio, cancelación de pruebas diagnósticas y retrasos en tratamientos críticos. Synnovis ha confirmado la filtración de datos personales y médicos de pacientes, incluyendo identificadores, resultados de análisis y referencias médicas, lo que eleva el riesgo de extorsión, ataques de phishing dirigidos y suplantación de identidad.

Según estimaciones preliminares, la afectación podría alcanzar a decenas de miles de pacientes y profesionales sanitarios. A nivel económico, el coste directo para Synnovis y el NHS podría superar los 15 millones de libras, considerando recuperación, refuerzo de seguridad y potenciales sanciones regulatorias bajo el RGPD y la futura directiva NIS2.

Medidas de Mitigación y Recomendaciones

Para contener la amenaza, Synnovis ha procedido a:

– Desconectar sistemas afectados y revisar la integridad de las copias de seguridad.
– Implementar autenticación multifactor (MFA) en todos los servicios de acceso remoto.
– Parchear sistemas vulnerables y restringir el acceso a servicios críticos.
– Colaborar con el NCSC y agencias forenses externas para la investigación y monitorización de actividad anómala.

Se recomienda a todas las organizaciones sanitarias:

– Revisar políticas de backup y realizar pruebas periódicas de restauración.
– Auditar accesos y credenciales privilegiadas.
– Desplegar soluciones EDR/XDR y actualizar firmas de detección IoC asociadas a Qilin.
– Formar al personal en reconocimiento de ataques de ingeniería social.

Opinión de Expertos

Especialistas como Lisa Forte (Red Goat Cyber Security) y Jake Moore (ESET) coinciden en que “el sector sanitario sigue siendo un objetivo prioritario para actores de ransomware debido al alto valor de los datos y la presión asistencial para pagar rescates”. Además, advierten que la implementación de la directiva NIS2 obligará a elevar el estándar de ciberseguridad en operadores de servicios esenciales, con especial atención a la cadena de suministro y la gestión de terceros.

Implicaciones para Empresas y Usuarios

El incidente de Synnovis subraya la fragilidad de los ecosistemas sanitarios conectados y la urgencia de revisar la seguridad en proveedores externos. Las empresas deben reforzar sus procesos de due diligence, exigir cumplimiento de normativas como RGPD y NIS2, y establecer planes de contingencia ante la paralización de servicios críticos.

Para los usuarios, la filtración supone un aumento del riesgo en la privacidad y la posibilidad de ser objeto de campañas de suplantación o fraude, por lo que se recomienda extremar la vigilancia ante comunicaciones sospechosas.

Conclusiones

El ataque a Synnovis representa un nuevo hito en la escalada de amenazas contra el sector sanitario europeo. La sofisticación de los grupos de ransomware y la criticidad de los servicios afectados exigen una respuesta integral que combine tecnología, formación y colaboración interinstitucional. La adaptación a marcos normativos más estrictos y la gestión proactiva de incidentes marcarán la diferencia entre resiliencia y vulnerabilidad en los próximos años.

(Fuente: www.bleepingcomputer.com)