El passat diumenge 5 de març l’Hospital Clínic de Barcelona va patir un ciberatac que va inutilitzar els sistemes informàtics i va noquejar el centre mèdic. L’hospital va haver de suspendre visites, cirurgies i tractaments, com quimioteràpies, i es van trigar més de tres dies a recuperar una certa normalitat gràcies a la feina de l’Agència de Ciberseguretat de Catalunya, que treballa per recuperar els sistemes. De moment, els autors de l'atac han demanat un rescat de 4,5 milions de dòlars en criptomonedes, tot i que des de l'Agència de Ciberseguretat de Catalunya afirmen que no el pagaran.

El programari utilitzat per atacar l’Hospital Clínic s’anomena ransomware i els responsables de l’atac són el grup RansomHouse, una corporació que es dedica a atacar empreses i institucions amb una finalitat econòmica. Per atacar fan servir el ransomware, el mateix programari que es va usar contra la Universitat Autònoma de Barcelona l’octubre de 2021 i que va deixar el centre educatiu sense xarxa interna durant més de dos mesos.

L’atac al Clínic no només destaca per la gravetat de noquejar un hospital públic i de referència, que suposa un cop baix als serveis sanitaris, sinó que també és un atac complex per si mateix i que està requerint un gran esforç a les autoritats que tracten de revertir-lo. El director de l'Agència de Ciberseguretat de Catalunya, Tomàs Roy, va destacar que es tracta d’un "atac complex, que no segueix el modus operandi clàssic i que inclou tècniques noves", per la qual cosa encara estan estudiant l'abast dels danys, en col·laboració amb els Mossos d'Esquadra i la Interpol. D'aquesta manera, s'hauria produït una encriptació de la informació i existeix la possibilitat d'una filtració de dades", va explicar poc després de l'atac Roy.

Què és i com funciona un ransomware?

Un ransomware és un programa maliciós que encripta els fitxers d’un sistema informàtic, com el de l’Hospital Clínic o la UAB i després els ciberdelinqüents demanen un rescat per poder recuperar les dades. El funcionament és així de senzill. La víctima de l’atac pot pagar o no pagar el rescat, però el que és gairebé segur és que una part dels arxius acabaran venuts a tercers a la deep web.

Com explica el Doctor per la Universitat Ramon Llull i professor de Seguretat en les TIC a La Salle, Adrià Mallorquí, els executors del ransomware busquen “punts febles” del sistema informàtic que volen atacar per introduir-s’hi. “La seva manera d’operar consisteix a buscar debilitats del sistema per introduir-hi el programari. Ho poden fer buscant debilitats externes, el que en diem una porta d’entrada, com un error en els protocols de seguretat. Aquesta és la manera més complicada de fer-ho, perquè aquests institucions acostumen a estar ben protegides. La forma més senzilla i més habitual consisteix a enganyar algun treballador, amb correus phishing o SMS enganyosos perquè entri en un enllaç i des d’allà els ciberdelinqüents introdueixin el ransomware. Un cop són dins del sistema no hi ha res a fer, encripten els fitxers, demanen un rescat i a partir d’aquí s’ha d’intentar recuperar els arxius”, explica. En el cas del Clínic es desconeix com s’ha introduït el programari al sistema. “No sabem com han entrat, o almenys no s’ha fet públic, però el més probable és que hagi estat a través d’un enllaç maliciós, és la manera més usual, més senzilla i més efectiva”, afirma Mallorquí.

Un cop el ransomware s’ha introduït en el sistema que es vol atacar i s’han encriptat els fitxers els atacants demanen un rescat. En el cas del Clínic han demanat 4,5 milions de dòlars en criptomonedes. “No pagarem cap rescat, ni parlar-ne”, afirmen, amb contundència, des de l’ACC quan els preguntem per la possibilitat de pagar aquesta xifra per recuperar els fitxers. En el cas de l’atac a la Universitat Autònoma de Barcelona el rescat que demanaven els atacants era d’uns 3 milions de dòlars, també en criptomonedes, que no es va pagar.

Des de l’ACC expliquen que de moment no poden oferir més informació sobre l’atac del que ja s’ha fet públic. “Sabem que van entrar al sistema i van encriptar els fitxers el diumenge 5 de març, quan va quedar inhabilitat. Per solucionar-ho s’han entregat més de dos-cents portàtils segurs a l’hospital perquè es pugui continuar treballant amb la màxima normalitat possible dins el context de la situació actual”, expliquen. El que podem assegurar és que no hi ha hagut cap filtració de dades, desmentint la informació que va circular a principis de setmana sobre una filtració amb arxius del Clínic, tot i que realment es tractava d'una confusió amb uns arxius d'un hospital alemany que també va ser atac abans que l'hospital català. "No hi ha hagut cap filtració enlloc, estem monitorant la situació juntament amb els Mossos i de moment no ha sortit res", afirmen des de l'ACC. També destaquen que les dades que s'han vist afectades per l'atac no són historials clínics, sinó que són dades i fitxers interns de l'hospital.

Imatge d'arxiu d'un hacker / Foto: unsplash

RansomHouse, els atacants del Clínic

L'empresa encarregada de l'atac al Clínic s'anomena RansomHouse. Segons Bleeping Computer, el seu model és el robatori de dades mitjançant l'explotació de vulnerabilitats en els sistemes interns d'una organització introduint-hi el ransomware. Una vegada RansomHouse ha obtingut les dades, el seu modus operandi és negociar un pagament per recuperar la informació. Si la víctima es nega a pagar, les dades es queden encriptades i es tornen inaccessibles. No obstant això, en l'últim any, RansomHouse ha afegit una forma addicional d'extorsió venent les dades robades i, si no els poden vendre a la deep web, les publiquen en el seu lloc web.

Però, quines són les motivacions de RansomHouse per dur a terme aquests atacs? Un informe de 2022 de l’empresa de ciberseguretat CyberInt explicava que RansomHouse creu que moltes empreses no estan disposades a invertir prou per a fortificar les seves infraestructures i sistemes informàtics i no tenen establerts plans de recompensa adequats per falles. L'informe també destaca que, una vegada que es paga el rescat, RansomHouse ajuda a les empreses a protegir-se de futurs atacs i assegura que s'esborra qualsevol informació robada. Tot i això, els atacs a institucions sanitàries públiques com l’Hospital Clínic posen en dubte la bona voluntat dels atacants i evidencien motivacions econòmiques. També hi ha constància de filtració de dades d'altres atacs, un argument que desmenteix la suposades intencions d'ajudar les empreses que manifesten des de RansomHouse.

Adrià Mallorquí afirma que RansomHouse no desenvolupa el seu propi programari, sinó que només es dedica a atacar amb ransomwares ja existents. "Hi ha altres grups del mateix estil que desenvolupen els seus propis ransomwares, però no és el cas de RansomHouse, pel que sabem ells només es dediquen a atacar i no pas a desenvolupar. Tot i això, l'atac al Clínic és especialment complex perquè s'han fet servir tècniques noves i més complexes que les que havíem vist fins ara, i això comportarà un esforç encara més gran per recuperar les dades", explica Mallorquí.

Els atacs amb ransomware van generar 5.000.000.000 de dòlars des de 2018

Els atacs amb ransomware són molt lucratius. Des de 2018 es calcula que aquests ciberatacs van generar més de cinc mil milions de dòlars, segons un estudi de la Xarxa de seguiment de delictes financers (FinCen per les seves sigles en anglès), una entitat depenent del govern estatunidenc. La raó, les grans quanties que demanen com a rescat per desencriptar les dades i l’alt percentatge de víctimes que acaba pagant. Teòricament, un cop es paga el rescat els atacants fan arribar un codi als propietaris del sistema afectat amb el qual poden desencriptar els fitxers, però no sempre és així. Segons un estudi de l’empresa de ciberseguretat Kaspersky, només un 11% dels afectats per un ransomware a Espanya l’any 2021 van poder recuperar la totalitat dels arxius encriptats.

L'informe anual sobre el crim organitzat en internet d'Europol admet que el ransomware és l'amenaça més dominant en la ciberdelinqüència. Segons el CCN-CERT, aquest és el tipus de programari maliciós més destructiu de l'última dècada. L'empresa de ciberseguretat Kaspersky va detectar 549.301 víctimes d'intents d'infecció de ransomware l'any passat, amb una mitjana de 1.500 al dia. Segons Kaspersky, el 32% de les víctimes de ransomware a Espanya cedeixen a les demandes, mentre que a escala mundial, el 56% es rendeix. A més, el 13% no pot recuperar els seus arxius.

Estic exposat a un atac? Què puc fer per protegir-me?

Adrià Mallorquí afirma que tothom està exposat a un atac amb ransomware o amb qualsevol altre programari maliciós. "És impossible estar totalment protegit, però sí que podem prendre algunes mesures", afirma. Aquestes mesures podrien ser, en primer lloc, tenir contrasenyes complexes i diferents entre diferents plataformes i aplicacions. "Si ens ataquen i es filtren les nostres claus i totes les que tenim són iguals, és més fàcil que algú pugui entrar a tots els nostres comptes. En canvi, si tenim contrasenyes complexes i diferents, els serà molt més complicat", explica. Per poder gestionar tantes contrasenyes diferents existeixen aplicacions que fan aquesta funció i que faciliten la tasca, de fet, els mateixos mòbils tenen aquesta funció, són els gestors de contrasenyes.

Per altra banda, una mesura que Mallorquí destaca és activar processos de doble verificació en tots els comptes que es pugui. Aquests processos consisteixen a haver d'introduir dues claus per entrar en un compte, la contrasenya i, per exemple, un SMS que s'envia al moment. "Moltes aplicacions ja tenen aquest servei incorporat, però n'hi ha d'altres on el poden activar si ho desitgem. Jo li recomanaria a tothom que ho fes en la mesura del possible", conclou el professor de La Salle.