Medibank ha instado sus clientes estén en alerta máxima después de que los ciberdelincuentes comenzaran a filtrar registros médicos confidenciales robados al gigante australiano de seguros de salud.
Un grupo de ransomware vinculado a los notorios Pandilla REvil de habla rusa comenzó a publicar los registros robados el miércoles temprano, incluidos los nombres de los clientes, fechas de nacimiento, números de pasaporte e información sobre reclamos médicos. Esto se produce después de que Medibank dijera que no pagaría la demanda de rescate y dijo: “Creemos que solo hay una posibilidad limitada de que pagar un rescate garantice la devolución de los datos de nuestros clientes y evite que se publiquen”.
Los ciberdelincuentes separaron selectivamente la primera muestra de víctimas australianas de infracciones en listas de “traviesas” y “buenas”, y la primera incluía códigos de diagnóstico numérico que parecían vincular a las víctimas con la adicción a las drogas, el abuso del alcohol y el VIH. según la Agencia France-Presse. Por ejemplo, un registro lleva una entrada que cube “F122”, que corresponde a “dependencia del hashish” según la Clasificación Internacional de Enfermedades publicada por la Organización Mundial de la Salud.
También se cree que los datos filtrados incluyen los nombres de clientes destacados de Medibank, que probablemente incluye altos legisladores del gobierno australiano, como el primer ministro Anthony Albanese y la ministra de ciberseguridad Clare O’Neil.
La parte de los datos filtrados hasta ahora, vistos por TechCrunch, también parece incluir correspondencia de negociaciones entre los ciberdelincuentes y el CEO de Medibank, David Koczkar. Las capturas de pantalla de los mensajes de WhatsApp sugieren que el grupo de ransomware también planea filtrar “claves para descifrar tarjetas de crédito” a pesar de la afirmación de Medibank de que no se accedió a los datos bancarios o de tarjetas de crédito.
“Según nuestra investigación hasta la fecha sobre este delito cibernético, actualmente creemos que el delincuente no accedió a la tarjeta de crédito ni a los datos bancarios”, dijo a TechCrunch la portavoz de Medibank, Liz Inexperienced, en un comunicado enviado por correo electrónico el miércoles, quien se refirió a su entrada en el weblog.
La pandilla de ciberdelincuentes detrás del ataque de ransomware de Medicare, cuyas identidades no se conocen pero en las que se ha basado una variante del malware de cifrado de archivos de REvil, ha filtrado hasta ahora los datos personales de unos 200 clientes de Medibank, una fracción de los datos que el grupo afirma haber robado. Medibank confirmó el martes que los ciberdelincuentes habían accedido a los datos personales de aproximadamente 9,7 millones de clientes y datos de reclamos de salud para casi 500,000 clientes.
¿Qué deben hacer las víctimas?
A la luz de la fuga de datos, que expuso información altamente confidencial que podría ser utilizada para fraude financiero, Medibank y la Policía Federal Australiana están instando a los clientes a estar en alerta máxima por estafas de phishing y actividad inesperada en las cuentas en línea. Medibank también aconseja a los usuarios que se aseguren no están reutilizando contraseñas y tiene autenticación multifactor habilitado en cualquier cuenta en línea donde la opción esté disponible.
Medibank también lanzó un “paquete de soporte de respuesta cibernética” para los clientes afectados, dijo Inexperienced de Medibank a TechCrunch. Esto incluye apoyo para situaciones difíciles, consejos y recursos para la protección de la identidad, y el reembolso de las tarifas de reemplazo de identificación del gobierno. El gigante de los seguros de salud también ofrece una línea de bienestar, un servicio de extensión de salud psychological y alarmas personales de coacción.
La policía federal de Australia está investigando la violación en colaboración con agencias de todo el Commonwealth, así como con otros miembros del grupo de “Cinco ojos” de gobiernos que comparten inteligencia, incluidos el Reino Unido, EE. UU., Canadá y Nueva Zelanda. Operation Guardian, la respuesta del gobierno australiano a la reciente ola de ciberataques que comenzó con la brecha de datos en el gigante de las telecomunicaciones Optusse extenderá a Medibank para proteger a sus clientes del “fraude financiero y el robo de identidad”.
“Operation Guardian monitoreará activamente la net clara, oscura y profunda para la venta y distribución de datos de Medibank Non-public y Optus”, dijo la comisionada adjunta del Comando Cibernético de AFP, Justine Gough. “La policía tomará medidas rápidas contra cualquier persona que intente beneficiarse, explotar o cometer delitos criminales utilizando datos privados de Medibank robados”.
¿Que sigue?
En su última actualización, Medibank se prepara para que la situación empeore y cube que “espera que el delincuente continúe publicando archivos en la darkish net”. En su sitio de filtraciones de la net oscura, los ciberdelincuentes dijeron que planeaban “continuar publicando datos parcialmente, incluida la confluencia, los códigos fuente, la lista de cosas y algunos archivos obtenidos del sistema de archivos medi de diferentes hosts”.
Medibank cube que continuará contactando a todos los clientes afectados con consejos específicos y detalles de a qué datos han accedido los atacantes. Sin embargo, los clientes con mayor riesgo de ser objeto de correos electrónicos fraudulentos deben asegurarse de que los correos electrónicos provengan de Medibank. Medibank dijo que no pediría datos personales por correo electrónico. En caso de duda, no haga clic en ningún enlace.
Todavía no se sabe si los clientes de Medibank recibirán una compensación luego de la violación o si Medibank enfrentará acciones por no proteger los datos médicos confidenciales de los usuarios. La brecha se produce apenas unas semanas después Australia confirmó un cambio legislativo próximo a las leyes de privacidad del país, tras un largo proceso de consulta sobre reformas. El Proyecto de Ley de Enmienda de la Legislación de Privacidad (Cumplimiento y Otras Medidas) de 2022 aumentará las sanciones máximas que se pueden aplicar en virtud de la Ley de Privacidad de 1988 por infracciones de privacidad graves o repetidas y mayores poderes para el comisionado de información australiano.
Dos bufetes de abogados también dijeron el martes que están investigando si Medibank había incumplido sus obligaciones con los clientes en virtud de la Ley de Privacidad del país. Las firmas, Bannister Legislation y Centennial Attorneys, investigarán si Medibank incumplió su política de privacidad y los términos de su contrato con los clientes y también evaluarán si se deben pagar daños y perjuicios como resultado del incumplimiento.