Què és RansomHouse, el grup ciberdelinqüent que ha atacat l’Hospital Clínic?

El 29 de novembre el grup sanitari colombià Keralty va informar en un comunicat que havien rebut un ciberatac que havia afectat els seus sistemes informàtics. Van ser víctimes d’un atac ransomware: hom havia accedit als seus bancs de dades, n’havia xifrat els arxius i després havia exigit el pagament d’un rescat per a desblocar-los. L’atac va tenir contra les cordes Keralty –que gestiona deu hospitals i cinquanta-sis centres d’atenció primària a Colòmbia, i les assegurances Colsanitas i EPS Sanitas– i els va obligar a treballar de manera analògica, sense poder accedir a l’historial mèdic dels pacients. Rere l’atac hi havia el grup RansomHouse, el mateix que diumenge va atacar l’Hospital Clínic de Barcelona i que ahir va obligar a cancel·lar unes 150 intervencions, entre 2.000 visites i 3.000 a consultes externes i entre 300 extraccions i 400.

L’atac a Keralty va passar a la fi de novembre i encara no s’ha resolt. Per pressionar el grup colombià, un mes després els pirates informàtics van mirar de collar-los més publicant a la seva pàgina web una part de la documentació robada. En concret, van penjar tretze documents Excel en què hi havia dades privades de pacients, sanitaris i empreses proveïdores, com ara noms, números d’identificació, telèfons, correus electrònics, pagaments, deutes i malalties dels pacients. En una conferència de premsa, el director general de Keralty, Sergio Martínez, va confirmar la veracitat dels documents i va negar tota mena de negociació amb RansomHouse. A més, va dir que avançaven a bon ritme en la recuperació dels sistemes informàtics per a poder oferir amb normalitat els serveis assistencials. Tanmateix, això no significava que resolguessin l’extorsió: a final de gener, dos mesos després de l’atac, RansomHouse va publicar dotze paquets de documents més amb informació comptable de la relació de Keralty amb empreses farmacèutiques.

RansomHouse exposa públicament a la seva pàgina web de la internet fosca les empreses i organismes que han estat víctimes dels seus atacs i a les quals reclamen un rescat en canvi de no exposar les dades privades que han segrestat, amb un enllaç directe per a descarregar els paquets de documents que difonen per a augmentar la pressió a les víctimes. Tal com ha pogut comprovar VilaWeb, en aquesta llarga llista hi ha el grup colombià Keralty, una empresa italiana de tecnologia oncològica, una empresa nord-americana especialitzada en la retransmissió audiovisual, una de britànica de climatització i fins i tot el govern de l’arxipèlag oceànic de Vanuatu. No hi és, ara per ara, l’Hospital Clínic de Barcelona.

De fet, RansomHouse no s’ha atribuït encara l’atac a l’Hospital Clínic, sinó que ha estat l’Agència de Ciberseguretat de Catalunya que ha dit que l’atac és obra d’aquest grup criminal. El secretari de Telecomunicacions i Transformació Digital del govern, Sergi Marcén, va dir ahir que no havien rebut cap comunicació dels pirates informàtics, però que en tot cas no negociarien el pagament de cap rescat. “No hi haurà cap negociació per a pagar ni un cèntim”, va dir. Com que l’atac prové de fora de l’estat espanyol, l’Agència de Ciberseguretat i els Mossos d’Esquadra treballen conjuntament amb la Interpol per a investigar-lo.

RansomHouse vesteix d’activisme els seus atacs

La pàgina web de RansomHouse té fins i tot un apartat on expliquen “la seva missió” i es defineixen com “una comunitat de mediadors professionals” que afavoreix que les empreses i organismes mantinguin actualitzats els seus sistemes de ciberseguretat. Diuen que no tenen a veure amb cap infracció de la llei ni produeixen ni fan servir cap programari ransomware, i que prioritzen “el sentit comú, una bona gestió de conflictes i les negociacions intel·ligents” com una manera d’aconseguir que “cadascú compleixi les seves obligacions en compte de tenir discussions absurdes”. Una manera elegant de dir a les víctimes que val més que negociïn per rescatar els sistemes informàtics segrestats.

“Creiem que els culpables no són els que troben les vulnerabilitats o piraten, sinó aquells que no tenen prou cura de la seguretat”, afirmen. I continuen: “Els culpables són aquells que no tanquen bé la porta i la deixen oberta, de manera que hi conviden tothom.” Critiquen les empreses que, arran de l’atac i el missatge que “les seves portes són obertes”, responen negativament, “però podrien ser agraïts i fer uns pagaments ridículament petits que ni tan sols cobreixen un 5% dels esforços d’un entusiasta”, un eufemisme per a parlar dels pirates informàtics autors de l’atac. “Bé, la reacció negativa és comprensible, perquè la direcció de l’empresa tindrà dificultats per a explicar els milions de dòlars gastats en auditories de seguretat i els alts salaris del personal de ciberseguretat als seus accionistes, quan hi ha un freelance que assenyala els errors globals que han comès, cosa que fa miques les seves habilitats de direcció”, afegeixen.

En un moment determinat del text, RansomHouse reconeix: “Aquesta manera de fer diners i assenyalar els errors de les empreses pot ser controvertit, però quan fas memòria que a l’altra banda hi ha empreses de milers de milions de dòlars és clar per què l’equip de RansomHouse és tan important per a promoure un diàleg.” I afegeix: “És d’això que tracta aquest projecte: de reunir les parts en conflicte, ajudar-los a establir un diàleg i prendre decisions informades i equilibrades.”

Aquest vestit d’activista arriba fins al punt que es manifesten “en contra del patiment de les persones individuals que esdevenen víctimes de la irresponsabilitat d’altra gent i les filtracions“. Per això ofereixen la possibilitat de posar-s’hi en contacte mitjançant el seu canal de Telegram per a demanar-los d’esborrar les seves dades personals abans no publiquin il·legítimament els documents per extorquir l’empresa o organisme del qual l’han robat.

Acusen el negociador de Keralty

Aquest mateix discurs és el que van exhibir en una entrevista publicada el 23 de febrer al canal de Telegram israelià CyberSecurityIL. Defensen que el seu objectiu és trobar les debilitats de seguretat dels sistemes informàtics, i que, en acabat, “discuteixen amb els negociadors la compensació que mereixem per a trobar les debilitats”. L’entrevistador li demana per l’atac al grup sanitari colombià Keralty, que va causar un gran caos en l’atenció mèdica als ciutadans, però RansomHouse se n’espolsa la responsabilitat: “La història amb l’hospital va ser diferent. Des del moment que s’hi va involucrar el seu negociador tot va començar a sortir malament i la situació va empitjorar. Els nostres socis, que van participar en l’incident, ens van informar que l’hospital gairebé no tenia protecció cibernètica. La direcció de l’hospital va optar per invertir diners en la promoció personal en comptes d’enfortir el sistema de defensa, és de doldre. Durant les negociacions vam dir a l’hospital que tot es podia resoldre en poques hores i que els ajudaríem a restaurar la infrastructura si arribàvem a un acord.” A la pregunta següent l’entrevistador els demanava si podien dormir a la nit, però RansomHouse no va respondre.

A l’entrevista també diuen que no han fixat una quantitat de diners aconseguida a partir de la qual retirar-se –”potser quan el món sigui un lloc més segur”–, i es volen distanciar de les organitzacions criminals clàssiques que miren d’entrar en el món dels atacs digitals. “Són mons molt diferents: alguns intenten d’entrar en el món de les tecnologies de la informació perquè és moda, però el cas és que el seu telèfon mòbil és més intel·ligent que ells”, diu.