Medibank no pagará el rescate de los piratas informáticos. ¿Es la elección correcta?

Medibank todavía se niega a pagar un rescate de una cantidad no revelada a los ciberdelincuentes, a pesar de que los hackers ahora supuestamente amenazan con liberar los datos robados en la web oscura.

Se informó que los datos de alrededor de 9.7 millones de clientes actuales y anteriores de Medibank fueron comprometido en una infracción confirmado por primera vez por Medibank el 13 de octubre.

Se dice que los datos incluyen los nombres de los clientes, fechas de nacimiento, direcciones, números de teléfono y direcciones de correo electrónico, así como unas 500.000 reclamaciones de salud con información como los detalles del proveedor de servicios de los pacientes, dónde recibieron servicios médicos y los tipos de tratamientos que recibieron. reclamado.

El director ejecutivo de Medibank ha dicho que la empresa no pagará, una decisión respaldada por la ministra del Interior, Clare O’Neil. Pero, ¿qué dice la evidencia?

¿Cómo se robaron los datos?

De acuerdo a varios informes, todo comenzó cuando un hacker comprometió las credenciales de un empleado de Medibank que tenía acceso a varios repositorios de datos de la empresa. No está claro si el empleado habría necesitado autenticación multifactor para acceder a estos datos y, de ser así, si esto también se vio comprometido.

Se cree que este hacker luego vendió las credenciales del empleado al notorio grupo de ciberdelincuentes REvil a través de un foro en línea en ruso. Alrededor de la medianoche, REvil publicó en la dark web amenazando con liberar los datos en las próximas 24 horas si no se pagaba el rescate.

Si bien no hay evidencia de que REvil tenga acceso a los datos robados, históricamente no se ha descubierto que el grupo REvil haya estado mintiendo. No hay razón para creer que esta vez es diferente.

Medibank identificó por primera vez una actividad inusual en su red el 12 de octubre. Luego inició una investigación de seguimiento que confirmó el incumplimiento. No sabemos cuánto tiempo los ciberdelincuentes pueden haber tenido acceso a sus sistemas antes de esa fecha.

Se informa que robaron unos 200 GB de datos en total. Esta es una cantidad bastante grande, y sería inusual no notar la exportación de esta cantidad de datos confidenciales.

En este caso, sin embargo, parece que los delincuentes utilizaron algún tipo de algoritmo de compresión para minimizar el tamaño del archivo de datos. Esto puede haber permitido que la extracción de datos fuera menos obvia, quizás también al dividir los datos en paquetes de datos más pequeños.

¿Pagar o no pagar?

El director ejecutivo de Medibank, David Koczkar, dijo que la solicitud de rescate no se pagaría y que «realizar cualquier pago aumentaría el riesgo de extorsión para nuestros clientes y pondría en riesgo a más australianos». Dijo que la decisión es consistente con el consejo de expertos en seguridad cibernética y el Gobierno de Australia.

Esta es, de hecho, una decisión inteligente. Incluso si se paga el rescate, no garantiza que los ciberdelincuentes no utilicen los datos robados para otros fines maliciosos o que no realicen más ataques contra Medibank.

Los organismos encargados de hacer cumplir la ley de todo el mundo están en contra de pagar rescates. Sin embargo, existen situaciones que amenazan la vida en un contexto de atención médica, como durante cirugía remotacuando no puede haber otra opción.

Los ciberdelincuentes se aprovechan de las vulnerabilidades en la infraestructura de TI del cuidado de la salud, en gran parte porque existe una mayor probabilidad de que se pague un rescate en el cuidado de la salud que en cualquier otro. otro sector.

A menudo, las organizaciones objetivo tendrán que pagar un rescate para recuperar el acceso a los datos y continuar brindando servicios de atención médica. Según un informe reciente, la mayoría de las víctimas de ataques de ransomware en el sector sanitario acaban pagando el rescate.

En cuanto a por qué Medibank no ha revelado el monto específico del rescate, esto se debe a que esta información podría alentar a otros ciberdelincuentes a apuntar a objetivos similares en futuros eventos de rescate.

Si se divulgara el rescate y luego tuviera que pagarse, la reputación de Medibank como proveedor de seguros tocaría fondo. Cuando la infraestructura de tuberías de combustible de Colonial Pipeline en los EE. UU. se vio afectada por un ataque de ransomware, el cuantioso pago del rescate de 4,4 millones de dólares dejó una cicatriz permanente en la reputación del operador.

Los riesgos a medida que se desarrolla la situación

Los riesgos para las víctimas de la violación de datos de Medicare no deben subestimarse. Esta información confidencial podría usarse en varios tipos de fraude. Por ejemplo, los piratas informáticos pueden llamar a las víctimas de la violación de datos haciéndose pasar por Medibank y solicitar un cargo por servicio para proteger sus datos. Los datos de atención médica también pueden usarse para chantaje y facturación fraudulenta.

Además, los piratas informáticos pueden identificar a las personas más vulnerables entre la lista de víctimas y crear vectores de ataque personalizados. Por ejemplo, las personas con dispositivos implantados (como marcapasos) pueden ser blanco de chantajes y amenazas contra su vida.

Más allá de esto, los ciberdelincuentes también podrían usar la información personal de las víctimas para realizar otras estafas no relacionadas con Medibank o la atención médica. Después de todo, si tiene los detalles de alguien, es mucho más fácil pretender ser cualquier organización o empresa con autoridad.

Para aquellos potencialmente afectados por la violación de datos de Medicare, lo más importante ahora es permanecer atentos a todo tipo de actividad en línea. Puede comenzar reemplazando sus contraseñas por otras más seguras frases de contraseña. También debe considerar realizar una verificación de crédito para ver si se ha realizado alguna actividad sospechosa en su nombre.

Este artículo se vuelve a publicar de La conversación bajo una licencia Creative Commons. Leer el artículo original.