El Centro Hospitalario Sud Francilien (CHSF), un hospital de con posibilidad para 1000 pacientes internados, ubicado a 28 km del centro de París, sufrió un ciberataque el pasado domingo, que ha provocado que el centro médico derive a sus pacientes a otros establecimientos de salud y han pospuesto las citas para cirugías hasta que el incidente sea mitigado por completo.
«Este ataque a la red informática hace que el software comercial del hospital, los sistemas de almacenamiento (en particular las imágenes médicas) y el sistema de información relacionado con los ingresos de pacientes sean inaccesibles por el momento«, explica el anuncio de CHSF.
La administración del hospital no ha proporcionado más actualizaciones sobre la situación, y la interrupción del sistema de TI que obligó a reducir las operaciones todavía afecta al establecimiento.
Aquellos que necesitan atención de emergencia serán evaluados por los médicos de CHSF, y si su condición requiere imágenes médicas para el tratamiento, serán transferidos a otro centro médico.
Según Le Monde, que tiene información de las agencias policiales del país, los actores de amenazas detrás del ataque de ransomware que golpearon al CHSF, exigieron el pago de un rescate de $10.000.000 a cambio de una clave de descifrado.
«Se ha abierto una investigación por intrusión en el sistema informático y por intento de extorsión en una banda organizada a la sección de delitos cibernéticos de la fiscalía de París», dijo una fuente policial a Le Monde, especificando también que «las investigaciones fueron confiadas a los gendarmes del Centro de Lucha contra el Crimen Digital (C3N)«.
El periodista francés de ciberseguridad Valéry Riess-Marchive identificó signos de una infección de LockBit 3.0, mencionando que el manejo por parte de la gendarmería nacional es una pista que apunta en esa dirección, ya que ese servicio se ocupa de los ataques Rangar Locker y LockBit.
Como explica Riess-Marchive en LegMagIT, es poco probable que Ragnar Locker esté detrás del ataque, esto es debido a un enfoque diferente en el tamaño económico de sus víctimas, mientras que LockBit 3.0 demuestra un alcance de orientación más amplio.
Sí LockBit 3.0 es responsable del ataque a CHSF, violará las reglas del programa RaaS, que prohíben a los afiliados cifrar los sistemas de los proveedores de atenciones médicas.
En este momento, la atribución al grupo en particular aún no se ha confirmado, solo existe especulaciones, y el sitio de extorsión de LockBit 3.0 aún no contiene ninguna entrada para CHSF, por lo que su participación sigue siendo una hipótesis.

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence