Se publicaron datos robados del Condado de Chatham en línea después del incidente cibernético
By Chatham News & Record Staff
Los archivos de datos confidenciales robados después del “incidente cibernético” del gobierno condal de Chatham el 28 de octubre han sido publicados en línea por la empresa criminal responsable, se enteró el News & Record el lunes.
Los archivos incluyen cosas como registros de personal de algunos empleados del condado, evaluaciones médicas de niños que son sujetos de casos de negligencia, avisos de desalojo y documentos relacionados con las investigaciones en curso dentro de la oficina del alguacil de Chatham.
El News & Record obtuvo acceso a algunos sitios web que tienen los archivos digitales usando información proporcionada por una fuente bajo condición de anonimato. Los funcionarios del condado confirmaron posteriormente al periódico que el grupo de ransomware conocido como DoppelPaymer había publicado datos confidenciales.
La organización criminal internacional ha llevado a cabo ataques similares contra el gobierno y las organizaciones de atención médica en todo el mundo, generalmente pidiendo a las víctimas que paguen un rescate o se arriesguen a la publicación de información confidencial.
DoppelPaymer cargó al menos dos grupos de datos del condado de Chatham tanto en la “web oscura” — sitios en línea encriptados que no se encuentran a través de los motores de búsqueda normales — como en la web “clara” haciéndolos accesibles a través de ciertos términos claves de búsqueda.
Una publicación en el sitio del DoppelPaymer ofrece el enlace del sitio web del condado y una frase que resume la historia de Chatham: “El condado recibió el nombre del conde de Chatham en Inglaterra, que era William Pitt … ahora sabes cómo Pittsboro obtuvo su nombre”. También proporciona enlaces a “archivos ejemplares” cargados en el sitio como resultado del robo. Los enlaces del archivo contienen nombres como “fallecido”, “seguro”, “Alguacil”, “Finanzas”, “otros” y “recursos humanos” — pero todo en inglés.
Las carpetas bajo el enlace “Alguacil” incluyen carpetas llamadas aplicaciones, beneficios, documentos disciplinarios, acciones del personal, evaluaciones de los empleados y más.
La primera carga de datos se realizó el 4 de noviembre, una semana después de que los funcionarios del condado de Chatham anunciaran la violación. Contenía archivos “en su mayoría inofensivos”, dijo el lunes el gerente del condado de Chatham, Dan LaMontagne, al News & Record, incluidos archivos que están disponibles al público bajo las leyes de Carolina del Norte.
Pero una segunda carga a finales de enero contenía datos más sensibles, como lo demuestran las capturas de pantalla obtenidas por el periódico y confirmadas por LaMontagne. La página que contiene los archivos se ha visto más de 30,000 veces, según un contador del sitio.
LaMontagne planea publicar un informe sobre el incidente en la reunión programada regularmente de la Junta de Comisionados del Condado de Chatham el lunes, así como al público. Pero el martes reconoció que el condado estaba trabajando para arreglar el problema de la publicación de datos.
“El personal del condado de Chatham se ha comprometido con el personal del Departamento de Salud y Servicios Humanos de Carolina del Norte (DHHS) y la Oficina del Fiscal General de Carolina del Norte (AG) para garantizar que cumplamos con los requisitos de notificación en lo que respecta a la información médica protegida (PHI) y / o datos de información de identificación personal (PII) ”, dijo LaMontagne al News & Record. “Continuaremos participando en estas conversaciones con nuestros abogado(s) de seguros cibernéticos, DHHS y el AG para asegurarnos de responder de la manera más adecuada posible en cuanto a los datos que se accedieron desde nuestra red durante el evento.
“Actualmente estamos revisando los archivos en el servidor que fue encriptado para recopilar los nombres y direcciones de personas cuya PII o PHI pueden estar en riesgo de exposición”, dijo LaMontagne. “Se notificará a esas personas de la situación y habrá un centro de llamadas disponible para esas personas para hacer preguntas”.
LaMontagne no quiso comentar sobre los detalles de un rescate — incluida la especulación de al menos una persona que afirma tener conocimiento del ataque de que los culpables solicitaron un pago de $500,000 en Bitcoin — pero dijo que habría más información disponible en su informe para los comisionados.
“No saben de lo que están hablando”, dijo LaMontagne el viernes pasado en respuesta al reclamo de rescate durante una entrevista para una historia publicada en el sitio web del News & Record durante el fin de semana. “Estaban especulando si dijeron eso, porque seguramente hay alguna inexactitud allí. Pero ya sabes, esto ha sucedido en otros lugares. Has visto situaciones similares en otros lugares. Se compartirá el día 15 exactamente lo que fue. Realmente no quiero hablar de eso hasta que se lo informe a la junta”.
El ransomware es el envío de software malicioso — a menudo a través de algo adjuntado a un correo electrónico que abre un recipiente desprevenido — para infectar y bloquear redes o archivos informáticos hasta que se pague un rescate. Tras el pago, la víctima normalmente recibe una clave para desbloquear sus datos. Aquellos que no pagan corren el riesgo de que se publique información confidencial, como sucedió en el caso del condado de Chatham.
Una tendencia acelerada
La brecha de seguridad de la red del condado de Chatham no es nada nueva, dijo al News & Record Brett Callow, analista de amenazas de Emsisoft — una compañía que crea software para proteger a los clientes contra sitios web maliciosos y malware.
En octubre, un hacker de computadoras tomó el control de las redes gubernamentales en el condado de Hall, Georgia. Cuando los funcionarios del condado se negaron a pagar el rescate, el hacker publicó archivos relacionados con las elecciones en línea y aumentó sus demandas.
Ese mismo mes, un ciberataque descarriló las operaciones en el centro médico de la Universidad de Vermont. La mayoría de los servicios hospitalarios cerraron y permanecieron cerrados durante semanas.
En marzo, el gobierno del condado de Durham fue sorprendido por un ataque de malware. Fue la segunda vez en cuatro años que la red del condado se comportó de manera sospechosa. La primera fue el día de las elecciones en 2016.
Cada ataque confirmó un patrón preocupante: los “incidentes” cibernéticos se están convirtiendo en algo común en los gobiernos locales porque es bastante fácil de hackearlos e infiltrarse para los ciberdelincuentes.
“Las serias barreras para su práctica de ciberseguridad incluyen la falta de preparación en ciberseguridad dentro de estos gobiernos …”, dijo un estudio de 2019 de la Universidad de Maryland, al que Callow hizo referencia en el sitio web de Emsisoft. “Los gobiernos locales en su conjunto hacen un mal trabajo en la gestión de su ciberseguridad”.
El estudio citó datos de una encuesta a nivel nacional de los gobiernos locales que habían caído en los ciberataques. Casi dos tercios no sabían cómo se violaron sus redes y pocos tenían sistemas de prevención para disuadir a los criminales.
“El hecho de que los gobiernos no estén implementando las mejores prácticas básicas y bien establecidas … sólo puede describirse como una negligencia grave”, dice el sitio web de Emsisoft.
En la mayoría de los casos de ransomware, los archivos obtenidos por los piratas informáticos se publican en línea después de que la víctima se niega a pagar un rescate. Para aquellos violados, Callow estimó que entre el 25% y el 33% pagan el rescate.
Dijo que una red informática bien diseñada está segmentada.
“En términos simples, eso es como tener cerraduras en las puertas interiores de un edificio”, dijo Callow. “Hace que sea mucho más difícil para infiltrar. Entonces, mientras alguien puede ingresar a Fort Knox y tal vez incluso robar un poco de papel higiénico de un baño, es probable que no pueda obtener el oro, y mucho menos irse con él”.
Desafortunadamente, dijo, los estudios y auditorías han demostrado que los gobiernos locales practican mal la ciberseguridad. Citó un informe emitido por el Auditor Estatal de Mississippi en octubre de 2019 que decía que había un “desprecio por la seguridad cibernética en el gobierno estatal”, que “muchas entidades estatales están operando como si las leyes de seguridad cibernética estatales y federales no se aplican a ellas”, e identificó problemas que incluyen:
No tener un plan de políticas de seguridad o un plan de recuperación ante desastres.
No hacer evaluaciones de riesgo exigidas por ley.
No cifrar información confidencial.
“Para que quede claro, eso no es necesariamente o totalmente la culpa de ellos”, dijo Callow. “La inseguridad del gobierno local se debe, al menos en parte, probablemente a la falta de financiación. Practican la seguridad de manera deficiente porque no tienen los presupuestos para practicarla mejor. Y esta es la razón por la que más de 200 gobiernos locales se han visto afectados por ransomware en los últimos dos años. Es un gran problema y, desafortunadamente, es probable que empeore a menos que se tomen medidas fuertes”.
La propia encuesta de Emsisoft sobre ciberataques estimó que al menos 2,354 gobiernos, centros de salud y escuelas de EE. UU. se vieron afectados por eventos cibernéticos en 2020, incluidos 113 gobiernos y agencias federales, estatales y municipales. La compañía estimó el costo de esos ataques a los gobiernos en $915 millones.
Chatham está trabajando en recuperar
Antes de enterarse de lo peor de los datos robados, el daño era lo suficientemente preocupante, pero LaMontagne dice que el condado está “bastante cerca” de una recuperación total.
A pesar de haber discutido previamente la posibilidad de una brecha de seguridad, el condado nunca pudo haber anticipado completamente el alcance de uno, o el trabajo que tomaría recuperarse.
Ahora, los discos duros de casi todas las computadoras de escritorio y los portátiles del condado — más de 500 de ellos — se han limpiado, desmontado y reimaginado, y están nuevamente funcionando. Los teléfonos y el correo de voz están funcionando.
Durante semanas, los empleados improvisaron con direcciones de correo electrónico de gmail.com que crearon apresuradamente y trabajaron desde sus propias computadoras personales, tabletas y teléfonos celulares. Ahora, por fin tienen cuentas de correo electrónico que funcionan usando la nueva extensión de dominio “chathamcountync.gov” del condado. Los servidores se han reconstruido. Cada vez hacen menos tareas “a mano” o usando lo que LaMontagne describió como “la tecnología de los 80”.
La fuente de la filtración, dijo LaMontagne al News & Record, no era información “súper secreta”. Solo quería que los comisionados lo escucharan primero.
Lo que seguirá siendo secreto es cómo el condado se asegura de que tales filtraciones no vuelvan a pasar.
“Hicimos bastante para mejorar la seguridad”, dijo LaMontagne.
¿Quería decir específicamente cuáles fueron esos cambios?
“No.”
“No te voy a decir”, dijo, “dónde están configuradas las alarmas”.
Lo que sí reveló LaMontagne, sin embargo, es el orgullo que tenía al ver a su personal perseverar durante los últimos meses en circunstancias extraordinarias.
“Por eso dije que nuestro ‘Empleado del año’ era cada uno de los empleados que tenemos”, dijo. “No puedes elegir uno. Hay demasiada gente buena. Y todos pasaron por muchas cosas difíciles. Cada individuo, cada departamento individual y cada empleado individual en esos departamentos simplemente dieron un paso adelante en la forma que necesitaban, y han pasado por muchas adversidades con la pandemia y este evento. Ha sido un gran desafío”.
El trabajo involucrado en reparar los costos intangibles de la contravención también representará un desafío — posiblemente durante mucho tiempo.
Mientras tanto, Callow y otros expertos dijeron que la única respuesta al ransomware era simple: nunca, nunca pagues el rescate.
“Siempre es una decisión equivocada”, dijo. “Simplemente incentiva a los criminales y de ninguna manera garantiza que recuperará sus datos. La única forma de detener esto es hacer que no sea rentable. Continuará siendo un problema mientras sea rentable”.
Traducido por Victoria Johnson y Patsy Montesinos.