AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Kettering Health sufre brecha de datos tras un ciberataque del ransomware Interlock**

admin

### Introducción

La cadena sanitaria estadounidense Kettering Health, responsable de la gestión de 14 centros médicos en Ohio, ha confirmado que ha sido víctima de un grave incidente de ciberseguridad. El ataque, atribuido al grupo de ransomware Interlock, comprometió la red interna de la organización en mayo de 2024, resultando en el robo de información confidencial. Este incidente pone de manifiesto la creciente sofisticación y agresividad de las amenazas dirigidas al sector sanitario, así como la necesidad de fortalecer las estrategias de defensa y respuesta ante incidentes.

### Contexto del Incidente

Kettering Health, que atiende a más de 500.000 pacientes al año y emplea a miles de profesionales sanitarios en Ohio, fue blanco de un ataque coordinado por la banda de ransomware Interlock. Esta organización cibercriminal, relativamente reciente pero con rápida capacidad de expansión, ha centrado sus campañas en infraestructuras críticas, siguiendo la tendencia observada desde 2023, donde el sector salud ha sido uno de los más afectados por ransomware a nivel global.

La intrusión se produjo a principios de mayo de 2024 y fue detectada tras la aparición de actividad anómala en los sistemas internos. Semanas después, Kettering Health confirmó que los atacantes lograron acceder a datos sensibles y posteriormente los exfiltraron, uniéndose así a la larga lista de organizaciones sanitarias impactadas por ciberataques con consecuencias legales, técnicas y reputacionales.

### Detalles Técnicos del Ataque

Según fuentes internas y análisis forenses preliminares, el grupo Interlock explotó una vulnerabilidad conocida en uno de los sistemas perimetrales de Kettering Health. Si bien la organización no ha revelado la CVE exacta, expertos externos apuntan a fallos recientes en soluciones VPN como Fortinet (CVE-2023-27997) o Citrix NetScaler (CVE-2023-3519), ambos vectores recurrentes en ataques similares.

Basándose en TTPs del framework MITRE ATT&CK, Interlock suele utilizar:

– **Initial Access:** Explotación de vulnerabilidades en servicios expuestos (T1190).
– **Execution:** Uso de scripts Powershell ofuscados para la ejecución de payloads (T1059.001).
– **Persistence:** Creación de cuentas de usuario administrativas y modificación de políticas de GPO (T1136).
– **Privilege Escalation:** Dumping de credenciales mediante herramientas como Mimikatz (T1003).
– **Defense Evasion:** Borrado de logs y desactivación de EDRs conocidos (T1070).
– **Exfiltration:** Transferencia de datos vía canales cifrados a servidores controlados por los atacantes (T1041).

Para la fase de cifrado y doble extorsión, Interlock emplea herramientas personalizadas, aunque se ha detectado el uso ocasional de variantes de Cobalt Strike y scripts automatizados para el movimiento lateral. Los indicadores de compromiso (IoC) recopilados incluyen hashes de archivos, direcciones IP de C2 y rutas de archivos cifrados.

El grupo publicó muestras de los datos robados en su portal de filtraciones Tor, confirmando la veracidad del ataque y la exfiltración de información que podría incluir datos personales de pacientes, empleados y detalles financieros.

### Impacto y Riesgos

El impacto del ataque a Kettering Health es significativo tanto a nivel operativo como normativo. La filtración de datos personales y sanitarios expone a la organización a sanciones bajo la legislación estadounidense (HIPAA) y, en caso de ciudadanos europeos, podría activar mecanismos de notificación bajo GDPR. Según datos de la industria, los incidentes de ransomware en sanidad pueden costar entre 1,3 y 2,5 millones de dólares por ataque, sin contar el daño reputacional y las implicaciones legales.

El grupo Interlock, al realizar doble extorsión, incrementa el riesgo de exposición pública de datos sensibles si no se satisfacen sus demandas económicas, estimadas en 7 cifras para organizaciones de este tamaño. Además, el tiempo medio de recuperación tras ataques similares supera los 18 días, según datos de Sophos y el informe anual de IBM Security (2023).

### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de ataques similares, los expertos recomiendan:

– **Actualización inmediata** de todos los sistemas expuestos, especialmente VPN, RDP y aplicaciones críticas.
– **Segmentación de redes** y aplicación de políticas de mínimo privilegio.
– **Implantación de EDRs avanzados** con capacidades de detección y respuesta en tiempo real.
– **Revisión y endurecimiento de políticas de backup**, con copias fuera de línea testadas periódicamente.
– **Simulacros de respuesta a incidentes** y formación continua del personal, especialmente en phishing y técnicas de ingeniería social.
– **Implementación de MFA** en todos los accesos remotos y críticos.
– **Monitorización proactiva** de IOCs y amenazas emergentes, así como suscripciones a feeds de inteligencia de amenazas.

### Opinión de Expertos

Especialistas como Kevin Beaumont (ex-Microsoft Threat Intelligence) subrayan que “los grupos de ransomware están profesionalizando la explotación de vulnerabilidades conocidas, reduciendo la ventana entre la publicación de un exploit y su explotación real a días o incluso horas”. Por su parte, la consultora Mandiant advierte que “la sanidad seguirá siendo objetivo prioritario debido al alto valor de los datos y la presión para restablecer operaciones rápidamente, lo que aumenta la probabilidad de pago de rescates”.

### Implicaciones para Empresas y Usuarios

Este incidente refuerza la idea de que todas las organizaciones sanitarias, independientemente de su tamaño, deben considerar la ciberseguridad como una prioridad estratégica. La exposición de datos personales puede acarrear demandas, sanciones y pérdida de confianza por parte de usuarios, partners y aseguradoras. Además, la entrada en vigor de marcos regulatorios más estrictos como NIS2 en la UE exigirá controles adicionales y respuestas más ágiles ante incidentes.

### Conclusiones

El ataque a Kettering Health por parte de Interlock es un claro recordatorio de la necesidad de estrategias de defensa en profundidad, gestión proactiva de vulnerabilidades y preparación ante incidentes. La colaboración entre departamentos de TI, legales y de respuesta a incidentes es esencial para mitigar el impacto de las amenazas de ransomware, especialmente en sectores críticos como el sanitario.

(Fuente: www.bleepingcomputer.com)