Cómo opera el grupo de ciberdelincuencia Rhysida que logró afectar los sistemas del PAMI
La compañía de seguridad informática ESET analiza el ransomare Rhysida que afectó al Instituto Nacional de Servicios Sociales para Jubilados y Pensionados argentino, PAMI, y provocó la cancelación al acceso a sus sistemas y a su página web.

El PAMI, Instituto de Servicios Sociales para Jubilados y Pensionados argentino, informó que sus oficinas estaban afectadas y detalló que sufrió un ciberataque por el ransomware Rhysida que alteró la atención médica y la tramitación de medicamentos y tratamientos. 

El ransomware es un software malicioso cuyo nombre se le colocó por la palabra Ransom que significa rescate, su objetivo es secuestrar datos y pedir rescate por ellos. ESET, compañía líder en detección proactiva de amenazas, analiza cómo funcionan este tipo de ataques y comparte recomendaciones para evitar ser víctimas.
 

Rhysida se trata de un grupo que emergió recientemente, a fines de mayo 2023, y se trata de un ransomware-as-a-Service (un modelo comercial de ciberdelincuencia). Desde su surgimiento el grupo tuvo predilección por objetivos en Latinoamérica, su primer ataque de alto perfil fue contra entidades públicas de Chile, en junio 2023, y ha tenido varios objetivos en Europa y los Estados Unidos, entre otros.

¿Cómo ataca Rhysida?

Uno de los métodos de dispersión de este software malicioso, es el envío de correos electrónicos falsos que simulan ser una fuente confiable, y, frecuentemente, contienen archivos adjuntos o enlaces que, al abrirlos o hacer clic en ellos, descargan el ransonware en el sistema de la víctima; es lo que se conoce como phishing.

Otra forma de ataque es mediante la explotación de vulnerabilidades del sistema, por ejemplo, un software desactualizado, o configuraciones de red inseguras. Los atacantes encuentran estos flancos débiles y pueden usarlos para ingresar a los sistemas de las víctimas, y más aún utilizar herramientas automatizadas que escanean la red en busca de más vulnerabilidades.

Las contraseñas débiles pueden ser usadas también como acceso a los sistemas, las primeras pruebas que hacen los atacantes es valerse de las contraseñas más comunes, como "123456" o "contraseña", pero también pueden utilizar herramientas automatizadas que adivinan contraseñas, si estas no son lo suficientemente fuertes. Las mismas deben tener mayor complejidad que solo incorporar mayúsculas y números.

Este ransomware cuenta con un sitio en la darkweb donde publican los nombres de las víctimas y publican la información robada en caso de que las víctimas no paguen el rescate.

El organismo argentino que asegura la atención médica de jubilados y pensionados debió autorizar en forma transitoria la prescripción de medicamentos, a través de recetas en papel, exceptuándolas de validaciones electrónicas, hasta que se restablezcan los servicios plenamente. “Luego de restablecerse por unas horas el servicio y la página web, al momento se encuentra intermitentemente inaccesible y, sus sistemas de trámites web caídos, por lo que debió reforzar la atención telefónica y personal, como forma de brindar asesoramiento a sus afiliados”, comentaba Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
 

El ataque al PAMI obligó a que los afiliados deban conseguir recetas papel y pierdan el acceso a turnos

ESET comparte recomendaciones para evitar un ataque de ransomware -o detenerlo en caso de que se esté desarrollando- son:

Mantener el software actualizado de los sistemas operativos y aplicaciones, ya que las actualizaciones corrigen vulnerabilidades que son las aprovechadas por los cibercriminales.

Usar soluciones de seguridad confiables, como software antivirus, firewall y otras.

Realizar copias de seguridad (backup) de forma regular, y almacenarlas en un lugar seguro y fuera del equipo del cual se realizó la copia.

Educar a las personas que integran la organización para que estén conscientes de los riesgos del ransomware y otras amenazas informáticas, para que sepan responder ante correos electrónicos de phishing y otras técnicas utilizadas por los ciberdelincuentes.

Implementar políticas de seguridad sólidas que incluyan el uso de contraseñas seguras y la limitación del acceso a datos y sistemas críticos.

Establecer un plan de respuesta a incidentes que incluya los pasos a seguir para minimizar los daños y recuperar los datos de forma segura y rápida, ante un ataque.

Verificar la procedencia de los archivos adjuntos y enlaces antes de abrirlos o hacer clic en ellos, ya que pueden ser utilizados por los ciberdelincuentes para distribuir el ransomware.