Cómo se gestó el ataque por ransomware que paralizó por varios días a las farmacias de todo el país
Un ataque informático del grupo LockBit a Bizland, la empresa que valida las recetas de medicamentos, le impidió a farmacias de todo el país procesar los descuentos que tiene los clientes de prepagas
- 6 minutos de lectura'
PARA LA NACIONSebastián Davidovsky
El jueves pasado, apenas empezó el día, sonaron las primeras alarmas. Algo no funcionaba bien en Bizland, la empresa que administra los servicios de autorización on line para Farmalink y, a través de ella, a las entidades de salud y farmacias, para la validación de compra de medicamentos con descuentos. Y que también da soluciones de procesamiento transaccional en los sistemas de transporte en las ciudades de Córdoba, Salta, San Miguel de Tucumán, y La Rioja.
Según pudo saber LA NACION, el desenganche sucedió en cadena: primero fueron las redes de comunicaciones y sus sistemas internos, lo que llamó la atención de los empleados. Luego dejaron de funcionar los sistemas que administran la carga de las tarjetas prepagas de transporte, y que derivaron en la imposibilidad de acreditación de saldos por parte de los usuarios del transporte público de las provincias, lo que transformó una molestia pasajera en un problema concreto. Entonces empezaron a aparecer las quejas de los clientes de prepagas y obras sociales. Podían comprar, pero sin descuento. En las farmacias, no andaba el sistema. O comprar a precio de lista, o esperar una solución manual, con suerte. Ya no era un posible inconveniente transitorio: enfrentaban una emergencia concreta.
¿Qué pasó en Bizland?
Al principio creyeron que se trataba de una falla en la comunicación con el datacenter. Un problema de conectividad. Pero no. Los problemas aparecieron en el propio centro de datos de la empresa, en el que las máquinas virtuales dejaron de funcionar y perdieron la conexión. Tampoco pudieron conectarse por consola a través del software vSphere (que administra las máquinas virtuales) y entonces encontraron el primer indicio fuerte de un ataque: los archivos aparecían encriptados, incluso con aparentes signos de borrado de credenciales de acceso a los servidores. Era imposible acceder a los sistemas de la empresa. Mientras lo intentaban, apareció el archivo que a esa altura ya esperaban con resignación: “Sus datos fueron robados y encriptados. Si no paga el rescate, los datos se publicarán en nuestros sitios TOR darknet. Tenga en cuenta que una vez que sus datos aparecen en nuestro sitio de filtraciones, sus competidores podrían comprarlos en cualquier segundo, así que no lo dude durante mucho tiempo. Cuanto antes pague el rescate, antes estará segura su empresa”.
El sello lo llevaba Lockbit 3.0, uno de los ransomwares más populares de los últimos tiempos. Ransom, en inglés, significa pagar por un rescate. Ware deriva de software. Los delincuentes lanzan el ataque de ransomware en el que buscan primero encriptar los archivos, es decir, ponerles un candado, y exigir un pago (el rescate) a cambio de devolver una llave. “Si querés volver a tener acceso a tus archivos, pagá”. Pero se guardan otra estrategia muy popular en el último tiempo: si por esas casualidades o resguardos las empresas logran restablecer sus documentos (todos los expertos recomiendan no pagar), la amenaza continúa: “o me pagás o publico tu información privada”, algo que según la víctima puede ser anecdótico o letal para las operaciones futuras de la empresa.
El enemigo, desde adentro
El ataque ransomware tiene varias etapas. Primero, el atacante debe lograr acceder a los sistemas de la víctima, que puede ser vía phishing (con un mail o un sitio que se hace pasar por una entidad bancaria u otro organismo, y que intenta capturar los datos de algún usuario para luego hacerse pasar por esa persona), o a través de la explotación de vulnerabilidades (un agujero de seguridad en los sistemas que usa esa compañía). La empresa sospecha que ese acceso vino por un proveedor. Con esas credenciales robadas pone un pie dentro de la red corporativa de la víctima y logra escalar privilegios. Mientras hace inteligencia, se puede mover por la red, identifica puntos de distribución del ransomware y, claro, busca backups, para también atacarlos. Puede robar información, que será esa moneda de cambio si es que la víctima no quiere pagar ante el primer aviso. Una vez dimensionado el daño, llega el momento de actuar. Entonces, ahí sí, se activa el cifrado de los archivos, que los encripta de tal manera que quedan inaccesibles para la víctima. El que impide que funcione el sistema de descuentos de recetas o el normal funcionamiento de un organismo, como sucedió recientemente en el INTA.
Un millón de dólares como rescate
En la misiva, los atacantes advierten: “Somos el programa de afiliados de ransomware más antiguo del planeta, nada es más importante que nuestra reputación. No somos un grupo políticamente motivado y no queremos nada más que dinero”, señalan. Piden, a cambio, un millón de dólares. Pero como todo, es negociable: para conversar, habilitan una serie de links diferentes de chats en TOR (un navegador que permite acceder a algo llamado la dark web, que permite navegar en forma anónima y con el que intentan evitar un ataque de denegación de servicios) para el intercambio de contrapropuestas. Pero avisan: “A veces tendrá que esperar un tiempo para nuestra respuesta, esto es porque tenemos mucho trabajo y atacamos a cientos de empresas en todo el mundo”. Y tratan de convencer a las víctimas sobre los beneficios del pago. “Es mucho más fácil, más barato y más rápido pagarnos el rescate” en vez de “perder toda su reputación”.
Bizland dice que el problema ya está resuelto
Bizland asegura que los servicios de validación on line para Farmalink y a través de ella a las entidades de salud y farmacias, ya volvieron a estar operativos. Algunos farmacéuticos consultados por LA NACION el miércoles por la mañana aún cuentan que tienen demoras. Durante estos días no podían autorizar recetas para ser vendidas con el sistema, que se encarga de validar si es que ese paciente tiene descuentos, de qué porcentaje (dependiendo del plan que tenga), si es una enfermedad crónica, etcétera. Es un servicio que contratan las prepagas y que llega a las farmacias. Durante el ataque informático, algunas prepagas ofrecieron reintegros manuales y otras, esperar. A que vuelva “el sistema” en algún momento.
La empresa señaló que “esas situaciones se irán resolviendo a lo largo de la jornada, pero el sistema ya está plenamente operativo y las farmacias pueden realizar con normalidad la validación de descuentos para cada afiliado a los sistemas de salud que operan con Farmalink”. A la vez, realizó el viernes una denuncia penal ante la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) del ministerio Público Fiscal de la Nación, ya que fue víctima de un delito extorsivo perpetrado por una organización delictiva internacional.
El grupo Lockbit, otra vez
El grupo de ciberdelincuentes que encriptó a Bizland es uno de los más importantes del mundo. Funciona desde hace cuatro años y buscan grandes empresas o gobiernos como víctimas. En su página publican las filtraciones de aquellos que fueron atacados. Hasta el momento no aparece la empresa encargada de la autorización de las recetas. Pero sí varias argentinas en el último tiempo, como La Segunda, Ingenio Ledesma u OSDE. Según el sitio CiberseguridadLatam, los ciberataques dirigidos a la industria de la salud aumentaron en un 74% durante el año 2022.
Conforme a los criterios de
