AtaquesNacionales

Grupo Ra World confirma ataque a Salud Total y difunde 137 documentos privados de la organización de salud

Cédulas escaneadas, cartas de usuarios, certificados de afiliación con información privada, historial clínico, cartas de cancelación a servicios complementarios, contratos de la organización con otras empresas, formularios de afilación, entre otros, son los documentos que en este momento se encuentran en un repositorio de acceso público.

Algunos de estos documentos tienen el logo de la medicina prepagada MedPlus y otras instituciones que estarían relacionadas con Salud Total.

MuchoHacker.lol pudo verificar y comprobar la existencia de los documentos robados y ahora disponibles a quien tenga acceso al link. Los atacantes publicaron esta información como parte de las pruebas que tienen de su ataque. A esto se le denomina un sample y se publica en repositorios gratuitos para presionar a la víctima y demostrar quese tiene información robada.

MuchoHacker.lol tuvo acceso a la nota de rescate que enviaron los delincuentes a la organización. Se tuvo acceso a esta documentación gracias a un usuario anónimo que nos compartió en privado un link de un portal- aplicativo donde analizan malware. No se publica la URL de este sitio web porque al visitarlo se puede acceder a la información privada.

Según la nota de los atacantes le habrían dado 7 días a Salud Total y ,como es costumbre en un ransomware, habrían pedido un rescate.

Salud Total no ha hecho público el tipo de ataque ni ningún tipo de información técnica sobre el incidente. La entidad de salud tampoco ha informado a sus afiliados qué está pasando con precisión. No se conoce con precisión cuánta información pudo estar afectada ni cuándo volverán los servicios.

Correciones, miércoles 1 de febrero de 2024, 9:39 a.m

Se cambió en todo el texto el nombre del grupo. No es RA World. Correcto: Ra World

Se cambio la imagen que acompaña el texto.

Actualización, miércoles 1 de febrero de 2024, 9:45 a.m.

En la información del ataque se puede observar la que sería la preseunta nota de rescate que debieron recibir los técnicos de Salud Total.

La traducción de la notificación:

Tus datos han sido robados y cifrados mientras lees esta carta. Hemos copiado todos los datos en nuestro servidor. No te preocupes, tus datos no serán divulgados si haces lo que quiero. Pero si no pagas, liberaremos los datos, contactaremos a tus clientes y reguladores, y destruiremos tu sistema nuevamente. Podemos descifrar algunos archivos para demostrar que la herramienta de descifrado funciona correctamente.

Contáctanos, paga el rescate. Si pagas, te proporcionaremos los programas de descifrado y eliminaremos tus datos de nuestros servidores. Si no, filtraremos tus datos y tu empresa aparecerá en la lista de vergüenza a continuación. Si no, enviaremos un correo electrónico a tus clientes e informaremos a la autoridad supervisora.

Qué es Ra World

Este grupo no tiene antecedentes de ataque a empresas colombianas. Al menos no se tienen registro en la historia de este blog. Dos expertos que analizan los datos del ataque han relacionado este incidente digital con el ransomware Babuk.

La organización Morphisec le viene haciendo seguimientio a Babuk e informó que fue descubierto por primera vez a principios de 2021, cuando comenzó a dirigirse a empresas para robar y cifrar datos en ataques de doble extorsión. Más tarde en el año, un actor de amenazas filtró el código fuente completo de Babuk en un foro de hacking de habla rusa.

Ahora, los actores de amenazas han combinado el código fuente filtrado de Babuk con software evasivo de código abierto y técnicas de carga lateral para crear una variante nunca antes vista en la naturaleza. Lo sucedido con Salud Total puede ser una variante de Babuk utilizado por un grupo que aprovecha el código abierto de la herramienta.

Ra World tiene una página web a la que se puede acceder si se tiene la URL de la redOnion. En este sitio se encuentra una lista de víctimas. A diferencia de otros grupos donde se puede observar un mínimo desarrollo conceptual acerca de por qué ejecutan estos ataques en esta sitio web no se puede leer nada acerca de quienes son y por qué lo hacen.

Lo que sí se puede observar es una larga lísta de víctimas. Cada una de ellas se negaron a pagar y cualquier persona puede descargar los datos robados. Tienen varias víctimas del sector salud y se puede observar que han publicado información privada.

Ante los hallazgos encontrados y siguien el líneamiento ético de este blog debemos aclarar que nos abstemenos de intentar comunicarnos con Salud Total para conocer su opinión. Aunque sería preferible que emitieran una comunicación el antecedente del anterior ataque donde intentamos comunicarnos con ellos nos indica que no hablarán. Igualmente queda la puerta abierta para Salud Total si quieren comentar u opinar algo al respecto.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *