Agenția Națională de Securitate Cibernetică (DNSC) din România a atribuit un focar de cazuri de ransomware în spitalele din țară unui incident la unul dintre furnizorii de servicii.
Se spune că un furnizor de servicii fără nume a raportat o problemă înainte ca spitalele să se adună pentru a alerta agenția cu privire la atacuri.
Furnizorul de servicii operează Sistemul Informațional Hipocrate (HIS) – o platformă multifuncțională de gestionare a asistenței medicale utilizată de spitalele din întreaga țară. Se crede că toate spitalele afectate de flagelul ransomware au fost compromise prin sistemul lor de informare în domeniul sănătății (HIS).
Conform obligațiilor legale de raportare ale României, furnizorii de servicii trebuie să raporteze incidentele care afectează semnificativ continuitatea serviciilor esențiale către DNSC și CSIRT național.
„Ne aflăm exact în scenariul unui incident ransomware Backmydata/Phobos care a afectat zeci de spitale din România”, a spus astăzi DNSC.
Amploarea urgenței ransomware din România este aproape de necrezut, cu peste 100 de spitale acum offline sau având fișierele criptate.
DNSC a confirmat astăzi că datele suplimentare ale unui spital au fost criptate, ridicând numărul total la 26.
Alte 79 de unități sanitare au fost deconectate proactiv de la internet luni, la câteva ore după ce au fost raportate primele atacuri. Aceștia sunt încă cercetați pentru a stabili dacă vreunul dintre ei a fost și ținta atacului.
Pentru a o pune în perspectivă, numărul centrelor de sănătate afectate a depășit acum numărul de trusturi NHS care au fost mai mult sau mai puțin perturbate de atacul WannaCry din 2017.
Majoritatea atacurilor au început seara târziu pe 11 februarie și au continuat până la primele ore ale zilei următoare, a declarat Ministerul Sănătății din țară. El a spus. Primul caz a fost depistat însă la Spitalul de Copii Piteşti pe 10 februarie.
Una dintre companiile de software despre care se crede că este implicată în rularea aplicației nu a răspuns încercărilor noastre de contact. De asemenea, site-ul lor web nu pare să funcționeze corect, afișând articole într-un mod aleatoriu, neglijent.
Marea majoritate a spitalelor românești afectate au la dispoziție backup-uri moderne, ceea ce este de așteptat să permită restabilirea serviciului să fie relativ simplă, a spus DNSC. Cu toate acestea, un spital fără nume și-a făcut ultima copie de rezervă a datelor cu 12 zile înainte de atac și probabil se va confrunta cu un proces de recuperare mai complicat.
Următoarele recomandări au fost transmise spitalelor care utilizează platforma Hipocrate:
-
Identificați sistemele afectate și izolați-le de rețea și de internetul mai larg
-
Păstrați toate materialele primite de la atacatori, inclusiv nota de răscumpărare și orice alte comunicări. Acestea vor fi folosite în timpul investigațiilor, cel mai probabil după revenirea spitalelor la locul de muncă
-
Evitați închiderea oricăror sisteme, deoarece directoarele cheie pot fi eliminate din RAM
-
Păstrați toate înregistrările pentru uzul anchetatorilor
-
Verificați aceste jurnale pentru a vedea ce sisteme ar fi putut fi compromise
-
Informați imediat toți angajații, pacienții și partenerii de afaceri despre situație
-
Încercați să restaurați sistemele din copii de rezervă după ce ați efectuat o curățare completă
-
Asigurați-vă că actualizați tot software-ul la cele mai recente versiuni disponibile
Unul dintre lucrurile ciudate despre poveste este că grupul de ransomware este necunoscut. Detaliile rămase în nota de răscumpărare nu au menționat un grup anume, ceea ce este neobișnuit în recentele atacuri, și au cerut 3,5 bitcoini (aproximativ 180.000 USD) drept răscumpărare – o sumă relativ scăzută conform standardelor actuale.
„Mesajul atacatorilor nu specifică numele grupului care revendică acest atac, ci doar o adresă de e-mail”, a confirmat marți DNSC. „Atât Direcția, cât și alte agenții de securitate cibernetică implicate în analiza acestui incident recomandă să nu contactați atacatorii și să nu plătiți răscumpărarea solicitată!”
Se spune că ransomware-ul folosit se numește Backmydata, o variantă a familiei Phobos Ransomware care există de ani de zile sub diferite forme și interacțiuni.
Recent, o versiune ușor modificată a lui Phobos a fost publicată de grupul 8Base Ransomware, deși trebuie spus că 8Base nici nu și-a revendicat nici nu și-a atribuit atacurile din România. ®
„Cititor lipsit de apologie. Maven de socializare. Iubitor de bere. Fanatic al mâncării. Avocat pentru zombi. Aficionat cu bacon. Practician web.”