La red hospitalaria del Reino Unido retrasa procedimientos tras un ciberataque 

Esta semana, el Wirral University Teaching Hospital (WUTH), parte del NHS Foundation Trust, sufrió un ciberataque significativo que interrumpió los servicios en todas sus instalaciones. La brecha, divulgada el lunes, llevó a la desconexión de los sistemas informáticos, obligando al hospital a operar manualmente y provocando retrasos en citas y procedimientos. 

WUTH administra Arrowe Park Hospital, Clatterbridge Hospital y Wirral Women and Children's Hospital, ofreciendo servicios críticos como atención de emergencia, cirugía y tratamiento del cáncer. La interrupción ha causado tiempos de espera más largos y disponibilidad limitada de servicios de diagnóstico, incluidos rayos X y tratamientos. 

Un portavoz del WUTH declaró: "Se detectó una actividad sospechosa y los sistemas fueron aislados como medida de precaución. Hemos recurrido a procesos manuales para garantizar la continuidad del servicio, pero los retrasos son inevitables". 

El personal describió las consecuencias como graves. "Sin sistemas digitales, todo se realiza manualmente, lo que dificulta enormemente las operaciones", dijo un miembro del personal a ECHO. Los pacientes fueron informados de que actualmente no hay cirugías ni tratamientos disponibles, y no se ha dado un plazo para el restablecimiento. 

El hospital instó al público a reservar las visitas de emergencia para casos genuinos a fin de evitar la sobrecarga de los servicios. 

Ningún grupo de ransomware se ha atribuido la responsabilidad, y la naturaleza del ataque sigue sin revelarse. Por ahora, continúan los esfuerzos de recuperación, pero el daño a las operaciones hospitalarias es considerable. 

Este incidente destaca la necesidad crítica de defensas cibernéticas robustas en el sector sanitario, ya que las organizaciones siguen siendo objetivos principales para los ciberdelincuentes. 

Operación Serengeti: más de 1.000 sospechosos de ciberdelitos arrestados en África 

Agencias de aplicación de la ley en 19 países africanos, coordinadas por Interpol y Afripol, arrestaron a 1.006 personas como parte de la Operación Serengeti, dirigida a ciberdelincuentes involucrados en ransomware, compromisos de correo electrónico empresarial (BEC), extorsión digital y estafas en línea. La operación, llevada a cabo del 2 de septiembre al 31 de octubre, desmanteló 134.089 infraestructuras maliciosas vinculadas a pérdidas financieras globales de casi 193 millones de dólares. 

Entre los logros clave se incluye la represión en Kenia de un fraude con tarjetas de crédito de 8,6 millones de dólares y el desmantelamiento en Senegal de un esquema Ponzi de 6 millones de dólares. Nigeria arrestó a un individuo responsable de estafas con criptomonedas por un total de 300.000 dólares, mientras que Camerún interrumpió una estafa de marketing que traficaba con víctimas de siete países. Angola desmanteló un fraude de casino virtual, arrestando a 150 personas y confiscando cientos de dispositivos. 

La Operación Serengeti recuperó 44 millones de dólares y subraya el papel crucial de la colaboración internacional en la lucha contra el ciberdelito, con socios operativos como Fortinet, Kaspersky y Group-IB que proporcionaron inteligencia fundamental. 

El ataque de ransomware a Blue Yonder interrumpe las cadenas de suministro 

La empresa estadounidense de software SaaS para la gestión de cadenas de suministro, Blue Yonder, reveló un ataque de ransomware que causó interrupciones significativas en el servicio, dejando a los clientes enfrentándose a desafíos operativos. 

El incidente, reportado el 21 de noviembre, afectó al entorno de servicios gestionados de Blue Yonder. Para el 23 de noviembre, la empresa anunció avances en los esfuerzos de recuperación junto con firmas externas de ciberseguridad, pero no pudo prever cuándo los sistemas volverían a operar por completo. 

El impacto ha sido amplio. Starbucks informó problemas con los sistemas de nómina y programación de personal, pero continúa operando. En el Reino Unido, importantes minoristas como Morrisons y Sainsbury’s han recurrido a procesos de respaldo, y Morrisons reconoció interrupciones en la cadena de suministro que afectan las entregas en las tiendas. 

Blue Yonder declaró haber implementado "protocolos defensivos y forenses", pero ofreció pocos detalles adicionales. 

El incidente pone de manifiesto la vulnerabilidad de las cadenas de suministro ante los ransomware, recordando crisis pasadas como el ataque al Colonial Pipeline. Afortunadamente, parece poco probable que esta interrupción afecte las temporadas altas de ventas minoristas en Estados Unidos o Reino Unido. 

Empresas del Reino Unido pierden 44 mil millones de libras debido a ciberataques en cinco años 

Los ciberataques han costado a las empresas británicas aproximadamente 44 mil millones de libras (55,08 mil millones de dólares) en ingresos perdidos durante los últimos cinco años, con más de la mitad (52%) de las empresas del sector privado reportando al menos un incidente, según el corredor de seguros Howden. 

En promedio, los ciberataques representan el 1,9% de los ingresos de una empresa, siendo las organizaciones más grandes—las que generan más de 100 millones de libras al año—las más frecuentes objetivos. Los métodos de ataque más comunes fueron correos electrónicos comprometidos (20%) y robo de datos (18%). 

Alarmantemente, solo el 61% de las empresas encuestadas utiliza software antivirus y apenas el 55% ha implementado cortafuegos de red. Las limitaciones de costos y la falta de experiencia interna en TI se citaron como barreras para defensas cibernéticas más sólidas. 

“El ciberdelito está en aumento, con actores malintencionados explotando vulnerabilidades a medida que las empresas dependen cada vez más de la tecnología”, dijo Sarah Neild, jefa del sector de ciberseguridad minorista en Howden Reino Unido. 

Estos hallazgos se basan en una encuesta realizada en septiembre a 905 responsables de TI del sector privado británico por YouGov. 

El grupo de ciberdelincuentes RomCom explota dos vulnerabilidades de día cero en una campaña generalizada 

El grupo de ciberdelincuentes rusos RomCom explotó recientemente dos vulnerabilidades de día cero en ataques coordinados dirigidos a usuarios de Firefox y Tor Browser en Europa y América del Norte. 

La primera vulnerabilidad (CVE-2024-9680), un error de uso después de liberación en la línea de tiempo de animaciones de Firefox, permitió la ejecución de código dentro del sandbox del navegador. Mozilla solucionó este problema el 9 de octubre de 2024. La segunda falla (CVE-2024-49039), un problema de escalada de privilegios en el Programador de Tareas de Windows, permitió a los atacantes ejecutar código fuera del sandbox de Firefox. Microsoft abordó esta vulnerabilidad el 12 de noviembre. 

RomCom combinó estos exploits para lograr la ejecución remota de código sin interacción del usuario. Las víctimas que visitaban sitios web controlados por los atacantes fueron comprometidas, lo que llevó a la instalación del backdoor RomCom. Los análisis revelaron que la campaña también apuntó a usuarios de Tor Browser mediante exploits maliciosos de JavaScript. 

La telemetría de ESET indica que los ataques fueron ampliamente distribuidos, afectando hasta 250 víctimas por país. RomCom continúa apuntando a organizaciones en Ucrania, Europa y América del Norte en sectores como gobierno, defensa y energía, demostrando capacidades sofisticadas y en evolución. 

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.