La empresa de medicina prepaga OSDE sufrió un hackeo a sus sistemas en junio de este año. A raíz de esto, se robaron datos sensibles de sus usuarios. Ahora, el grupo detrás del ataque liberó esa información tras lo que habría sido una negativa de la empresa a pagar u$s 300.000 de rescate.

Según puede verse en el sitio de la banda que realizó el ataque, serían casi 140 GB de información sensible sobre los pacientes que incluye historiales médicos, análisis clínicos y tratamientos de enfermedades graves. Entre la información difundida, habría políticos, famosos y empresarios argentinos.

La cifra que pedían los atacantes era de u$s 300.000 por destruir toda la información y de u$s 10.000 para ganar 24 horas de tiempo. La fecha límite de pago se habría cumplido a principios de agosto y, ante lo que se presume es una negociación fallida por parte de la empresa, el grupo de hackers liberó la información. El grupo detrás del ataque utilizó el ransomware Lockbit, en su variante 3.0, para cifrar la información de la empresa.

Según puede verse en el historial de transacciones en la blockchain, el pago no se habría realizado en Bitcoin ya que la billetera que proveen los atacantes no muestra transacciones realizadas.

Este malware o virus informático forma parte de la familia de malware "LockerGoga & MegaCortex", que se basan en la autodistribución por toda la red infectada sin necesidad de intervención manual, en ataques dirigidos a objetivos específicos dentro de una red y usan herramientas de propagación como Windows Powershell o Server Message Block.

Los atacantes ofrecen la información de manera gratuita y proveen un archivo donde puede verse qué tipo de información fue robada sin necesidad de acceder a los datos propiamente dichos. En la misma puede verse que hay información relacionada a pagos, salarios de los empleados, información de comunicación con la prensa, legajos de pacientes, información financiera y comercial, información sobre seguros entre otras.

Al parecer, las carpetas comprometidas son /D/OSDE/bd/ger_administracion_finanzas/; /D/OSDE/facturacion y cobranzas/2021/ y del año 2022, D/OSDE/rescates/; D/OSDE/tecnica/juicios y reclamos/ y /D/OSDE/impuestos/ordenanzas fiscales e impositivas/ordenanzas, entre otras lo que da una idea del tipo de datos que se filtraron.

En el documento que liberaron los hackers puede verse que hay varias carpetas con nombre propio, lo que puede indicar que se trata de carpetas de empleados de la empresa. Posiblemente, el grupo de hackers consiguió acceso a los sistemas de OSDE a partir de un ataque de phishing o ingeniería social. Es decir, engañaron a alguien de dentro de la empresa para robarle credenciales de acceso lo que permitió que se inyecte en malware de cifrado y robo de archivos. Otra posibilidad es que la penetración en el sistema sea solamente en algunas carpetas de empleados que tenían ellos mismos, a su vez, acceso a las carpetas con información sobre facturación, historias clínicas y demás. 

La empresa afectada todavía no emitió un comunicado oficial al respecto.