Tweet 0 COMENTARIOS

Como el primer día (que fue el lunes pasado), el cartel que admite “inconvenientes técnicos” está colgado en la web de Galeno, la tercera prepaga del país en cantidad de afiliados. Allí también se brinda un teléfono para consultas por WhatsApp, una admisión tácita de que sus sistemas informáticos están caídos. El tema fue destapado por Minuto de Cierre hace tres días (https://www.minutodecierre.com/nota/2021-3-31-15-25-0-galeno-sufre-un-ataque-informatico-de-hackers-con-pedido-millonario-de-rescate-y-la-atencion-de-salud-comprometida), tras lo cual la empresa admitió el problema, aunque desmintió que se haya pedido rescate económico -se habló de u$s 2 millones- y descartó problemas para la atención médica: https://www.minutodecierre.com/nota/2021-3-31-15-25-0-galeno-sufre-un-ataque-informatico-de-hackers-con-pedido-millonario-de-rescate-y-la-atencion-de-salud-comprometida.

Transcurridos cinco días hábiles, la empresa de medicina prepaga sigue con problemas, lo cual sugiere que no se pagó rescate alguno por los datos que fueron encriptados, a los cuales no pueden acceder. Aunque voceros de la compañía admiten que este último -datos “secuestrados” o encriptados- es el problema. “Estamos conectando todo a un servidor paralelo, trabajando en la solución y en una contingencia por las dudas”, aclaró a Minuto de Cierre un vocero de la prepaga que lidera Julio Fraomeni.

“Como las cifras de rescate son muy altas para la economía argentina, y se sienta un mal precedente si se accede a la extorsión, la restauración del back up es la medida más habitual en estos casos”, señaló un especialista en informática, bajo la reserva de su nombre. “Se recuperan datos viejos, y luego se mueve esa información a nuevos servidores, porque los que se usaban están secuestrados. Esto lleva varios días, la demora de Galeno en solucionar el problema no es sorpresa para los que conocemos de esto”, agregó.

El “virus nuevo”: apuntan a Ryuk

Desde Galeno apuntan que los problemas informáticos se deben a un “virus nuevo”. También aclaran que “ante la duda que el mismo mute, estamos conectando todo a un servidor paralelo”. Para el especialista en informática consultado, que trabajó en muchos de estos casos en la Argentina, “el hecho que admitan que es un virus nuevo confirma que se trata de un ransomware. Por supuesto que la empresa va a minimizar el ataque, pero los muchos días que lleva sin solucionarlo son la evidencia de que es un problema complejo y de hackers sofisticados, que lograron colar un ransomware nuevo”.  

En este sentido, en el círculo de los gerentes de tecnología el consenso es que Galeno fue víctima de un ataque del ransomware Ryuk, que se utiliza frecuentemente contra empresas y organizaciones. De acuerdo al sitio especializado Malwarebits Lab, Ryuk “se descubrió por primera vez en la naturaleza en agosto de 2018 y se ha utilizado en numerosos ciberataques desde entonces, incluidos incidentes de alto perfil como el ataque al Tampa Bay Times y otros periódicos en enero de 2020. Según el FBI, es el ransomware número uno en términos de los pagos de rescate completados”.

En ese artículo, que puede leerse completo en https://blog.malwarebytes.com/malwarebytes-news/2021/03/ryuk-ransomware-develops-worm-like-capability/, se comenta que de acuerdo a la Agencia de Ciberseguridad de Francia, el problema de Ryuk es que está diseñado para reproducirse fácilmente y sin necesidad de intervención humana permanente. “El equipo francés encontró una variante de Ryuk que podía extenderse de un sistema a otro dentro de un dominio de Windows. Una vez lanzado, se propagará en cada máquina accesible en la que sea posible el acceso a la llamada a procedimiento remoto (RPC) de Windows”, dice el artículo. 

Allí se agrega que “históricamente, uno de los principales actores a la hora de eliminar a Ryuk ha sido Emotet. Y da la casualidad de que la botnet Emotet sufrió un duro golpe cuando, en una acción coordinada, varias agencias policiales tomaron el control de la botnet Emotet”. En cuanto al equipo de hackers que diseño Ryuk, “ha demostrado con trucos anteriores que son muy hábiles en el uso de protocolos de red”.