INCIBE-CERT

Desde finales del año 2020 el sector de la salud está siendo uno de los principales objetivos de ciberataques, debido en parte al alto valor de los datos que gestiona y la criticidad de sus servicios. Además, aumenta su perímetro de exposición a ataques por la creciente adopción de nueva tecnología médica, la conectividad de sus sistemas y el aumento del volumen y flujo de datos de salud. Otro factor a tener en cuenta es la falta de concienciación que aún existe entre los trabajadores del sector en lo relativo al uso seguro de aplicaciones y tratamiento de datos del paciente. Estudios como el de ENISA: Health Threat Landscape, ponen de manifiesto estos y otros motivos dibujando una realidad que complica la gestión, aplicación y mantenimiento de medidas de seguridad. Las consecuencias de estos ataques tienen un alto impacto, ya que pueden afectar a la correcta prestación de servicios de atención médica con implicación directa en la propia salud del paciente.

CAPEC (Common Attack Pattern Enumeration and Classification) es un proyecto que se centra en enumerar y clasificar patrones de ataque comunes en sistemas informáticos y en ofrecer un enfoque sistemático para comprender y abordar las tácticas utilizadas por los atacantes. Al igual que CWE (Common Weakness Enumeration), CAPEC es una iniciativa de la comunidad de seguridad informática y es mantenida por el Instituto Nacional de Estándares y Tecnología (NIST) en Estados Unidos. Recientemente en la versión 3.9, el proyecto ha incorporado una serie de patrones de ataque relacionados con el mundo industrial. Este artículo pretende mostrar al lector el uso de estos códigos como los utilizados a nivel de identificador en los CVE, CWE, etc. y que guardan relación con muchos de los trabajos que se ejecutan día a día en el sector de ciberseguridad industrial. 

Desde su aparición en 2022, Black Basta se ha consolidado como uno de los ransomware más peligrosos en el panorama actual, destacando por su capacidad para realizar ataques de doble extorsión, robando y cifrando datos de sus víctimas. Aunque se centra en sistemas Windows, también han sido descubiertas versiones para sistemas Linux que atacan a hipervisores ESXi. A finales de diciembre de 2023, un reconocido laboratorio de hacking ético en Berlín publicó en GitHub una herramienta de descifrado para combatirlo. Aunque el grupo ha actualizado recientemente su software para corregir esta falla, la publicación de la herramienta de descifrado representa un duro golpe contra sus operaciones. En este artículo, analizamos en detalle el funcionamiento de este ransomware, explorando los métodos que emplea para comprometer la integridad de los datos y sistemas y presentamos el método de descifrado para su versión vulnerable.