Rumunské nemocnice napadnuté ransomvérom

Najmenej 25 rumunských nemocníc bolo odrezaných od online služieb po tom, čo útok ransomvéru znefunkčnil ich systém na správu zdravotnej starostlivosti. Cieľom útoku bol HIS, ktorý sa používa v nemocniciach na správu lekárskej činnosti a údajov o pacientoch. Útok, ktorý sa odohral počas noci z 11. na 12. februára 2024, zasiahol produkčné servery HIS a v dôsledku toho systém prestal fungovať, súbory a databázy boli zašifrované. Rumunské ministerstvo zdravotníctva uviedlo, že incident je predmetom vyšetrovania IT špecialistami, vrátane odborníkov na kybernetickú bezpečnosť z Národného riaditeľstva pre kybernetickú bezpečnosť (DNSC), a posudzujú sa možnosti obnovy. Zoznam zasiahnutých nemocníc bol aktualizovaný po zverejnení aktualizácie DNSC a zahŕňa nemocnice v rôznych regiónoch Rumunska vrátane centier pre regionálnu a onkologickú liečbu.

DNSC uviedlo, že útočníci použili ransomvér BackMyData na zašifrovanie údajov nemocníc, ide o variant ransomvéru z rodiny Phobos. Celkovo bolo útokom zasiahnutých najmenej 25 nemocníc, zatiaľ čo desiatky ďalších nemocníc, ktoré používajú HIS, preventívne odpojili svoje systémy, zatiaľ čo sa incident vyšetruje. Väčšina postihnutých nemocníc má zálohy údajov na postihnutých serveroch, pričom údaje boli uložené pomerne nedávno (pred 1-3 dňami) okrem jednej, ktorej údaje boli uložené pred 12 dňami. DNSC Rumunsko čelí bezprecedentnej kybernetickej kríze po tom, čo ransomvérový útok narušil ich zdravotnícky manažmentový systém a zanechal ich bez prístupu k elektronickým záznamom. Situácia vyvoláva obavy o bezpečnosť pacientov a dôvernosť ich údajov, pričom sa ešte musí určiť rozsah potenciálnej škody a možnosti obnovy údajov.

 Spoločnosť, ktorá prevádzkuje zraniteľnú technológiu HIPOCRATE údajne dodala tieto technológie aj do Moldavska, Bulharska, Macedónska a Slovenskej republiky, čo poukazuje na rastúci medzinárodný dosah kybernetických hrozieb. Pre Slovensko to znamená zvýšenú potrebu zabezpečiť kritickú infraštruktúru zdravotníctva proti podobným útokom. NCKB (Národné centrum kybernetickej bezpečnosti) odporúča slovenským nemocniciam aby prijali preventívne opatrenia na ochranu svojich informačných systémov, aby predišli narušeniu poskytovania zdravotnej starostlivosti a ochrane osobných údajov pacientov.

 Zatiaľ nie sú známe žiadne relevantné indikátory kompromitácie (IoC) ani informácie o technikách, taktikách a procedúrach útočníka (TTP’s). Slovenské nemocnice by sa aj kvôli tomuto incidentu mali ubezpečiť, že majú implementované vhodné bezpečnostné opatrenia na predchádzanie ransovérovým útokom, ako aj následné postupy na prípadnú obnovu dát.

NCKB vytvorilo stránky, ktoré podrobne opisujú tematiku prevencie ransomvéru, https://ransomver.sk-cert.sk

Z  odporúčaní vyzdvihujeme mať vo svojej organizácii správne nastavenú správu aktív, riadenie rizík, proces riešenia incidentov ako aj zriadený business continuity plan. Bližšie informácie nájdete tu.

 V prípade, že dôjde ku obnove dát je dôležité mať účinný zálohovací systém, nie len po technickej stránke, ale aj po procesnej. Obnovovací protokol by ste mali pravidelne testovať a trénovať, aby ste v prípade potreby boli schopní obnoviť Vaše dáta čo v najkratšom čase.

Hlavné body na ktoré pri zálohovaní treba dbať:

  • Pravidlo 3-2-1 ( Minimálne 3 kópie dát, na dvoch zariadeniach a jedno mimo          
    vášho bežného pracoviska).
  • Jasný a zrozumiteľný proces obnovy dát.
  • Testovanie procesu obnovy dát.
  • Technologické, sieťové a heslové oddelenie systému zálohovania od bežných pracovných systémov.

Detailnejšie informácie o zálohovaní môžete nájsť na: https://www.sk-cert.sk/sk/rady-a-navody/ransomware/pred-incidentom/technicke-opatrenia/zalohovanie/.

V prípade zistenia kybernetického bezpečnostného incidentu ho nahláste Národnému centru kybernetickej bezpečnosti na [email protected].

 

Zdroje


« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy