Cyberprzestępcy twierdzą, że posiadają poufne dane Ministerstwa Zdrowia i żądają terminu ich opublikowania.

Ministerstwo Zdrowia znalazło się w niedzielę na liście ofiar darknetu , gdzie cyberprzestępcy twierdzą, że posiadają poufne informacje o obywatelach i dają 11 dni na ich opublikowanie , wśród których miałyby się znaleźć prowincjonalne dokumentacje medyczne.

Clarín skontaktowała się z Ministerstwem Zdrowia, na czele którego stoi Mario Lugones , który oświadczył, że „nie doszło do żadnych włamań do baz danych ministerstwa”.

Według atakujących, znanych jako Nova Ransomware , posiadają oni „wysoce poufne informacje o 2 milionach pacjentów w plikach Excel”. Ransomware to rodzaj złośliwego oprogramowania (wirusa komputerowego), które szyfruje informacje, uniemożliwiając dostęp do nich ich właścicielom, i w zamian żąda okupu pieniężnego.

Istnieje drugi etap wymuszenia , w którym, jeśli ofiara odmawia zapłaty, przystępuje się do publikacji informacji (tak stało się w przypadku PAMI w sierpniu 2022 r ., za rządów byłego prezydenta Alberto Fernándeza).

Te gangi cyberprzestępców często przesyłają próbki, aby udowodnić, że uzyskali dostęp do systemów swoich ofiar. W tym przypadku nie ma żadnych plików , „ponieważ są to bardzo prywatne informacje”, ale przesłali plik .txt z ich strukturą folderów, szczegółowo opisujący zawartość plików.

Na podstawie nazw, rozmiarów i dat plików uwzględnionych w tej próbce można wnioskować, że atakujący mieli dostęp do baz danych kampanii szczepień i prowincjonalnych rejestrów zdrowia .

Pliki odnoszące się do różnych laboratoriów (takich jak Sinopharm, Sputnik, Moderna Pediatric i inne) sugerują możliwą obecność informacji o osobach zaszczepionych (np. danych identyfikacyjnych, dat szczepień, serii szczepionek lub ośrodków zdrowia) oraz raportów o zdarzeniach niepożądanych związanych ze szczepieniami (AEFI). Liczne odniesienia dotyczą dokumentacji z prowincji Chaco . Z tych powodów zagrożone informacje mogą być wysoce wrażliwe.

Ministerstwo poinformowało tę redakcję, że „jeśli istnieją dodatkowe dane, takie jak dokumentacja medyczna, nie są to informacje dostępne Ministerstwu Zdrowia”.

W logice ransomware , głównym motywem jest zysk finansowy. Cyberprzestępcy przeprowadzają masowe skanowanie sieci w poszukiwaniu powszechnych luk w zabezpieczeniach, zarówno w przestarzałych systemach, jak i w nowych, niewykrytych jeszcze lukach. Wykorzystując te luki w zabezpieczeniach, włamują się, kopiują informacje, a następnie szyfrują systemy, aby pobrać okup, zazwyczaj w kryptowalucie.

Na całym świecie działają znane grupy, takie jak Black Cat , LockBit , RansomHub i Hunters International. Wiele z nich padło ofiarą ataków ze strony organów ścigania w ciągu ostatnich dwóch lat. Jednak biznes ransomware pozostaje uśpiony, ponieważ gangi przegrupowują się i ponownie wykorzystują programy do szyfrowania danych.

Pierwsze oznaki aktywności ransomware Nova pojawiły się pod koniec maja tego roku. „Nova to grupa ransomware, wcześniej znana jako RALord, która z powodzeniem zaszyfrowała dane Tomio Ingeniería w Argentynie. Nie wykorzystują sztucznej inteligencji w swoim projekcie, ani na stronie internetowej (ze względu na znaczące błędy gramatyczne i ortograficzne w języku angielskim), ani w swoim produkcie (brak dowodów na to)” – wyjaśnił Santiago Pérez, analityk ds. bezpieczeństwa w BCA LTD , firmie zajmującej się cyberbezpieczeństwem, która wykryła zagrożenie i powiadomiła ich o nim , w rozmowie z Clarín.

Inne grupy w branży stosują sztuczną inteligencję. „To ważne, aby odróżnić ją od innych nowych lub większych graczy, którzy stosują ją w przypadku niemal wszystkich swoich produktów, takich jak FunkSec (Ransomware) czy Venom (Drainer)” – dodał.

„Operują również w modelu RaaS i sprzedają odmianę ransomware za jednorazową opłatę w wysokości dwóch tysięcy dolarów” – dodał. RaaS, czyli Ransomware-as-a-Service , to model, w którym grupa programistów projektuje złośliwe oprogramowanie i udostępnia je osobom trzecim w zamian za udział w zyskach, jeśli wymuszenie się powiedzie. W lipcu tego roku Nova ogłosiła, że ​​uzyskała dostęp do infrastruktury kolumbijskich organów wymiaru sprawiedliwości.

Agustín Merlo, niezależny analityk złośliwego oprogramowania, odkrył, że cyberprzestępcy udostępnili dane logowania wewnątrz firmy kilku argentyńskim stronom, co – biorąc pod uwagę datę publikacji – może być danymi pierwotnego logowania.

„Wykryłem, że na jednej ze stron dark webu zarządzanych przez Nova opublikowano post zawierający plik dotyczący „dziennych logowań” w celach „pracowniczych”. Jest to plik .zip z kilkoma listami zawierającymi wykradzione nazwy użytkowników i hasła. Lista ta zawiera dane uwierzytelniające do kilku oficjalnych argentyńskich stron internetowych. Nie mogę potwierdzić, czy są one funkcjonalne, ale na podstawie daty i sposobu ich przetwarzania wydaje się, że to właśnie ich używają cyberprzestępcy”.

Hasła te są zazwyczaj pozyskiwane za pomocą oprogramowania typu infostealer , czyli złośliwego oprogramowania, które kradnie informacje przechowywane zazwyczaj w przeglądarkach internetowych (Google Chrome, Safari, Edge) i atakuje hasła. Jeśli system komputerowy nie obsługuje uwierzytelniania dwuskładnikowego, atakujący mogą łatwo uzyskać do niego dostęp.

W tym przypadku źródła mające dostęp do informacji zapewniły portal, że nie szyfrowały informacji , a jedynie skopiowały dane bez ich szyfrowania. Odzwierciedla to zmianę w modelu biznesowym ransomware, którą wykryto w ciągu ostatniego roku: przejście od wymuszenia poprzez szyfrowanie do prostego „przejęcia” danych w celu przeprowadzenia drugiego etapu wymuszenia.

„Obserwujemy odejście od ataków skoncentrowanych na szyfrowaniu na rzecz eksfiltracji danych i ich publicznego ujawnienia jako głównej metody wymuszeń. Ta zmiana odzwierciedla zarówno pragmatyzm operacyjny, jak i ewoluujące wzorce reakcji ofiar” – stwierdziła firma Check Point Research w raporcie na temat stanu ransomware w drugim kwartale 2025 roku.

Raport Microsoft Threat Intelligence ujawnia kluczowe dane na temat podatności sektora opieki zdrowotnej na ataki ransomware. Wynika z niego, że sektor ten znajduje się w pierwszej dziesiątce najczęściej atakowanych branż od drugiego kwartału 2024 r., a pozycja ta dominowała w ciągu ostatnich czterech kwartałów.

Koszty finansowe są oszałamiające: organizacje zajmujące się opieką zdrowotną tracą średnio 4,4 miliona dolarów, a w samym roku fiskalnym 2024 w sumie 389 placówek służby zdrowia w Stanach Zjednoczonych padło ofiarą ataków typu ransomware, zgodnie z raportem Microsoft 2024 Digital Defense Report.

W Argentynie można przytoczyć liczne przykłady z ostatnich lat: PAMI odnotowało wyciek 1,6 miliona plików członkowskich, a szpital Garrahan padł ofiarą ataku hakerskiego. Sektor prywatny nie jest wyjątkiem: centra Rossi, Stamboulian i Hidalgo zostały zhakowane pod koniec zeszłego roku, a firma ubezpieczeń zdrowotnych OSDE (prepaid health insurance company) padła ofiarą wycieku 140 GB danych w 2022 roku, w tym dokumentacji medycznej pacjentów.

Według raportu Resilience , najczęściej atakowanymi sektorami są opieka zdrowotna, handel detaliczny i produkcja, z incydentami przekraczającymi 1 milion dolarów na zgłoszenie (nawiasem mówiąc, rzadko pobiera się taką kwotę). Co więcej, w pierwszej połowie 2025 roku średni koszt ataku wzrósł o 17%.

Według raportu atakujący stosują bardziej wyrafinowane taktyki niż kilka lat temu, począwszy od inżynierii społecznej z wykorzystaniem sztucznej inteligencji, podwójnego wymuszenia i kradzieży polis ubezpieczeniowych, po żądanie wyższych okupów. To pokazuje, że cyberprzestępcy wywierają inną presję na swoje ofiary.

W przypadku Ministerstwa Zdrowia pozostało nieco ponad tydzień do momentu opublikowania informacji w darknecie.