Cuando un ransomware ataca un establecimiento de salud, su efecto puede ser devastador. Esto se observó en 2017, cuando WannaCryptor.D (también conocido como WannaCry) impactó a varios sitios del Servicio Nacional de Salud del Reino Unido y limitó su capacidad de proporcionar servicios, lo que provocó la cancelación de casi 20,000 citas.
La pandemia de COVID-19 está estirando al máximo los recursos de los servicios de salud en todo el mundo. Esto incluye no solo a los valientes profesionales de la salud que combaten el avance del virus en primera línea, sino también a todos los equipos de soporte que crean el entorno para que trabajen, como los equipos de seguridad de TI. Esos equipos puede que hayan quedado contentos y/o asombrados al escuchar que uno de sus adversarios, el grupo detrás del ransomware Maze, ha decidido detener las actividades dirigidas a organizaciones médicas, al menos hasta que la situación actual se estabilice.
Un "comunicado de prensa" con fecha del 18 de marzo establece que el grupo detrás de Maze también está dispuesto a ofrecer descuentos exclusivos a sus socios debido a las condiciones económicas provocadas por el nuevo coronavirus. Creo que por “socio” se refieren a las víctimas, que es como los pirómanos llaman a los propietarios del edificio que incendiaron.
Este grupo ha sido responsable de varios ataques recientes, incluso contra la Ciudad de Pensacola y la compañía manufacturera Southwire. En ambos casos, las víctimas se negaron a pagar y los operadores de Maze divulgaron los datos robados.
Al grupo detrás de Maze también se le atribuye la filtración de datos médicos de varias organizaciones de la salud que se negaron a pagar, siendo la organización más grande los Laboratorios de Diagnóstico Médico (MD Lab) de Nueva Jersey. En esta oportunidad los operadores de Maze publicaron cerca de 9,5 GB de datos de MD Lab en un intento por forzar las negociaciones para que paguen.
Según un artículo publicado en CyberScoop, el FBI emitió una alerta de urgencia en diciembre de 2019 advirtiendo sobre los peligros del ransomware Maze. En el comunicado, El Buró Federal de Investigaciones detalla cómo los actores detrás de Maze utilizan diferentes métodos para comprometer una red, entre ellos: falsos sitios de criptomonedas y campañas de spam que suplantan la identidad de agencias gubernamentales y proveedores de seguridad.
Si bien alguno puede pensar en lo considerados que han sido con esta decisión, le recuerdo a los lectores que estamos hablando de cibercriminales con un historial de disrupción y destrucción.
Cualquier ataque a una institución de salud, sea en el momento que sea, tiene el potencial de causar una degradación en la atención que se le brinda al paciente, por lo que sus consecuencias podrían ser fatales. Ofrecer descuentos y la voluntad de detener los ataques en la situación actual no debería distraernos del hecho de que se trata de ciberdelincuentes con reputación y antecedentes por haber atacado a los sistemas de salud con total desprecio por el cuidado de los pacientes.