Sidra Kuwait Hospital - Incident Report 2025-05-29
Resumen
El sistema de gestión clínica Sidra en el hospital Kuwait Hospital fue comprometido el día 29 de mayo de 2025 mediante una infección por ransomware que afecta al equipo IT y a usuarios finales. La instalación del software malicioso ocurrió a las 14:36 horas (UTC+4) durante una sesión de mantenimiento del servidor web.
El ataque se propagó desde un servidor web de producción, afectando múltiples servidores web en el mismo dominio y causando interrupción del servicio al público. Se han identificado indicadores técnicos que permiten la recuperación de evidencia sin riesgo adicional.
La Victima
Sidra Kuwait Hospital es una institución clínica ubicada en Al-Mustakfiyya, Kuwait. Es un hospital privado que maneja servicios críticos para pacientes y personal médico.
El sistema operativo activo era Windows Server 2016 (versión Enterprise). El equipo comprometido pertenecía a la categoría "Infraestructura Técnica" con los siguientes datos:
- Rol: Web Server
- IP Real: (Servidor web de producción)
- Dominio Principal: side-ra.com
- Usuario Responsable: Web Admin (jefe de IT)
El Grupo Atacante
La infección se asoció al grupo de ransomware Everest. Este grupo es conocido por su capacidad de distribución masiva mediante servidores web y ataques de botnets.
Estatísticas del ataque:
- Tipo de ataque: Ransomware (RBS)
- Duración de infección: 18 minutos
- Pecados: 43%
- Dominio Principal: side-ra.com
- Ranqueo Global: RBS-2025 (Positivo)
- Tipo de malware: Everest RBS
- Versión detectada: v1.3.4.79.x.x
- Hora de infección: 2025-05-29T08:56:12 (UTC+4)
- Método de acceso: HTTP/HTTPS (HTTP/HTTPS) en servicio web
Cronologia del Ataque
La cadena de eventos que llevó al incidente se registró en el servidor web principal. El siguiente cronograma muestra los pasos críticos del ataque.
- 08:39 UTC+4: Inicialización de la botnet (Everest RBS).
- 08:56 UTC+4: Conexión con el servidor web principal ().
- 09:37 UTC+4: Inyección del payload en los archivos de configuración.
- 09:40 UTC+4: Activación automática de la infección en servidores web.
- 10:25 UTC+4: Propagación inicial a otros servidores web (Total: 7 máquinas).
- 13:06 UTC+4: Confirmación del ataque y reporte de estado al grupo.
Datos Comprometidos
A continuación se presentan los indicadores técnicos que identificaron el compromiso. Estos datos están disponibles en la base de datos pública del equipo Everest.
| Tipo | Valor | Contexto/Descripción |
|---|---|---|
| Ransomware | Everest RBS (v1.3.4.79.x.x) | Malware de encriptación con código de recuperación. |
| Dominio Principal | sides-ra.com | Sitio web malicioso que distribuye el malware y se usa para acceso remoto. |
| Pecado del Sistema | 43% | Probabilidad de éxito alta en ataques tipo RBS. |
Indicadores de Compromiso (IOCs)
Aquí se presentan los indicadores técnicos que deben ser usados para la detección y respuesta al incidente. Se han seleccionado las versiones más recientes detectadas en el grupo.
| Tipo | Valor/URL | Contexto/Descripción |
|---|---|---|
| Malware Binary (Binary) | GitHub Releases | Archivos ejecutables del malware de encriptación. |
| Payload (Binary) | GitHub Releases | Payload de ejecución con código de recuperación. |
Conclusiones
El incidente demostró que servidores web pueden ser vectores críticos para ataques ransomware modernos. La infección fue rápida (18 minutos) y se propagó automáticamente a otras máquinas del servidor.
Estrategias de defensa recomendadas:
- Implementar una arquitectura que limite la superficie de ataque en servidores web.
- Suspectar ataques RBS incluso sin indicadores visibles y ejecutar análisis de código.
- Mantener sistemas actualizados con las últimas versiones del malware (v1.3.4.x).
Fecha de reporte: 2026-05-29T00:52:42.173Z | Grupo: Everest | Categoría: RBS-2025