La Caja Costarricence de Seguro Social (CCSS), organismo que se ocupa de la seguridad social en Costa Rica, fue víctima de un ataque de ransomware.

El organismo confirmó que el martes 31 de mayo fue víctima de un ciberataque que está siendo investigando. Según comunicaron, las bases de datos de EDUS (Expediente Digital Único en Salud), SICERE (Sistema Centralizado de Recaudación), planillas y pensiones no se vieron afectadas por el incidente. Al momento de escribir este artículo el sitio web está fuera de servicio y desde la CCSS explicaron que por prevención se dieron de baja todos los sistemas mientras se realizan los análisis correspondientes para tratar de restaurar los servicios críticos. Las autoridades también informaron que están trabajando en coordinación con el Ministerio de Ciencia y Tecnología y otras entidades para recuperarse del ataque.

Mientras tanto, 136 centros médicos habilitaron líneas telefónicas para realizar consultas y evacuar dudas de los usuarios mientras se mantienen interrumpidos los sistemas. Por otra parte, la plataforma de Pensiones y Crédito está temporalmente fuera de servicio.

Si bien desde la CCSS no confirmaron que el incidente se trata de un ransomware, el sitio BleepingComputer reveló que tuvo acceso a la nota de rescate que dejaron los criminales y puede confirmar que se trata de un ataque del ransomware Hive, un grupo que opera bajo el modelo de ransomware-as-a-service (RaaS), que está en actividad desde mediados de 2021, y que ya registro varias víctimas en varios países de América Latina desde entonces, como Brasil o Colombia.

Al parecer, en el caso del ataque a la CCSS los empleados recibieron la orden de apagar sus computadoras y desconectarlas de la red luego de que todas las impresoras comenzaran a imprimir al comenzar el ataque.

Este ciberataque a la Caja Costarricense de Seguro Social ocurre después del ataque en abril del ransomware Conti al Ministerio de Hacienda de Costa Rica, que luego afectó también al menos a otros siete organismos públicos, causando la interrupción de varios servicios críticos que llevaron al Presidente a declarar el estado de emergencia nacional tras la ola de ataques. Los atacantes robaron información antes de cifrar los archivos en los sistemas comprometidos, y luego solicitaron al ministerio el pago de 10 millones de dólares, los cuales decidieron no pagar. Esto derivó en la publicación en el sitio web de los atacantes de una gran cantidad de archivos robados como parte de su estrategia extorsiva.

Algunos investigadores aseguran que Conti ha estado trabajando junto a Hive desde aproximadamente seis meses y que también tiene ciertos vínculos con otros grupos de ransomware, como BlackCat o AvosLocker, entre otros.

Este incidente a la CCSS se suma a una lista que aumenta de organizaciones de América Latina que se convierten en víctimas de ransomware en lo que va de 2022. En abril, además del ataque a Costa Rica, Conti atacó recientemente a organismos públicos de Perú, mientras que el grupo LockBit publicó el nombre de organizaciones de Argentina, Chile, México y Brasil entre sus más recientes víctimas.

Fuente info
Autor: Juan Manuel Harán