AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El ransomware INC compromete los datos de 743.000 pacientes en McLaren Health Care: análisis técnico y consecuencias**

admin

### Introducción

El gigante sanitario estadounidense McLaren Health Care ha confirmado una brecha de seguridad que afecta a la información personal y médica de aproximadamente 743.000 pacientes. El ataque, atribuido al grupo de ransomware conocido como INC, tuvo lugar en julio de 2024 y supuso la exfiltración masiva de datos confidenciales. Este incidente se suma a la creciente ola de ciberataques dirigidos contra el sector sanitario, un objetivo recurrente debido al alto valor de la información gestionada y la criticidad de los servicios afectados.

### Contexto del Incidente

McLaren Health Care, con presencia en nueve hospitales y múltiples clínicas en Michigan (EE. UU.), detectó actividad anómala en sus sistemas a principios de julio de 2024. Tras una investigación forense, se confirmó la intrusión y el despliegue de un ransomware por el grupo INC, conocido por ataques a infraestructuras críticas en el último año.

El incidente pone de manifiesto la sofisticación de las amenazas actuales, ya que el vector de ataque empleado permitió a los cibercriminales acceder a sistemas internos y extraer grandes volúmenes de datos antes de ejecutar el cifrado y emitir la correspondiente demanda de rescate.

### Detalles Técnicos

**Identificación y vector de ataque**

La investigación preliminar apunta a la explotación de una vulnerabilidad en servicios expuestos a Internet, probablemente asociada a software de acceso remoto o a servidores de correo electrónico (por ejemplo, CVE-2023-23397 en Microsoft Outlook, ampliamente explotada en 2024). No se descarta el uso de credenciales comprometidas mediante técnicas de phishing dirigido (spear phishing) como vector inicial.

**TTPs según MITRE ATT&CK**

– **Initial Access**: Spear phishing con payloads adjuntos (T1566.001) y explotación de servicios externos vulnerables (T1190).
– **Execution**: Uso de scripts PowerShell ofuscados (T1059.001).
– **Persistence**: Creación de cuentas locales para persistencia (T1136.001).
– **Privilege Escalation**: Exploits para bypass de UAC o abuso de credenciales privilegiadas (T1548.002).
– **Defense Evasion**: Desactivación de EDR y logs (T1562.001).
– **Exfiltration**: Herramientas de compresión y transferencia segura (7zip/SCP) (T1048).
– **Impact**: Cifrado de sistemas críticos y despliegue de nota de rescate (T1486).

**Indicadores de Compromiso (IoC)**

– Hashes de ejecutables asociados con el payload del ransomware INC.
– C2 IPs detectadas en la infraestructura de McLaren, vinculadas previamente a operaciones de INC.
– Artefactos de PowerShell en sistemas afectados.

**Herramientas y frameworks identificados**

– Uso de Cobalt Strike para movimiento lateral y persistencia.
– Mimikatz para exfiltración de credenciales.
– Scripts personalizados para evasión de EDR.

### Impacto y Riesgos

El incidente ha expuesto datos personales, médicos y financieros de 743.000 pacientes, incluyendo nombres, fechas de nacimiento, direcciones, información de seguros médicos y, en algunos casos, números de la Seguridad Social. El volumen y la sensibilidad de los datos exfiltrados aumentan el riesgo de fraudes, robo de identidad y ataques dirigidos a los afectados.

En términos operativos, McLaren Health Care experimentó interrupciones parciales en sus sistemas de acceso a historiales clínicos y gestión hospitalaria, aunque no se ha confirmado el impacto directo en la atención a pacientes críticos.

Las sanciones regulatorias derivadas del incumplimiento de normativas como la Health Insurance Portability and Accountability Act (HIPAA) en EE. UU. serían comparables, en el caso europeo, a las contempladas en el RGPD y NIS2, con multas que pueden alcanzar el 4% de la facturación global.

### Medidas de Mitigación y Recomendaciones

– **Actualización urgente de sistemas**: Parcheado inmediato de vulnerabilidades conocidas (especialmente CVE-2023-23397 y otros CVEs críticos de 2024).
– **Refuerzo de MFA**: Activación obligatoria de autenticación multifactor en accesos remotos y cuentas privilegiadas.
– **Monitorización proactiva**: Implementación de soluciones SIEM y EDR con reglas específicas para detección de TTPs asociadas a INC y Cobalt Strike.
– **Segmentación de red**: Limitación de movimientos laterales mediante políticas de microsegmentación.
– **Backups seguros y offline**: Comprobación periódica de copias de seguridad y su aislamiento.
– **Simulacros de respuesta**: Entrenamiento de equipos internos ante incidentes de ransomware.

### Opinión de Expertos

Especialistas en ciberseguridad del sector sanitario, como John Riggi (American Hospital Association), advierten que «la sofisticación y persistencia de grupos como INC suponen una amenaza de primer orden para cualquier organización sanitaria». Se destaca la tendencia reciente de ataques de doble extorsión, donde la exfiltración y la amenaza de publicación son tan críticas como el cifrado.

Profesionales de respuesta a incidentes subrayan la importancia de la inteligencia de amenazas colaborativa y la compartición de IoCs en tiempo real para frenar la propagación de campañas similares.

### Implicaciones para Empresas y Usuarios

Este ataque demuestra la urgencia de elevar los estándares de ciberseguridad en el sector sanitario, históricamente rezagado en inversión y concienciación. Las organizaciones deben revisar sus programas de cumplimiento normativo y reforzar la formación de usuarios ante el aumento de campañas de phishing dirigidas.

Para los usuarios afectados, el riesgo de robo de identidad y fraude financiero implica la necesidad de monitorizar cuentas bancarias y considerar servicios de protección de identidad.

### Conclusiones

El caso de McLaren Health Care ilustra la peligrosidad de los ataques de ransomware dirigidos y la necesidad de una defensa en profundidad actualizada y adaptada a las TTPs emergentes. El uso de herramientas avanzadas por parte de grupos como INC y la creciente profesionalización del cibercrimen suponen un reto para CISOs y equipos de seguridad, que deben anticipar y responder a incidentes cada vez más complejos y costosos.

(Fuente: www.bleepingcomputer.com)