Hírek

26 kórházat feltörtek: Melyik cég biztosítja a Hippokratész-megoldást

#image_title
413views

Nemzeti Kiberbiztonsági Igazgatóság (DNSC) – árulta el szerdán ki az a feltört cég, amely a 26 kórháznak szállított Hippocrates IT-rendszert (más néven HIS) forgalmazza.

RansomwareFotó: 8vfand, Dreamstime.com

„2024. február 11-ről 12-re virradó éjszaka ransomware típusú kibertámadást hajtottak végre a Hipocrate IT rendszert (más néven HIS) fejlesztő, adminisztráló és forgalmazó román Soft Company (RSC) www.rsc.ro ellen. A DNSC adatai szerint a támadás Romániában 26 olyan kórház tevékenységét zavarta meg, amelyek Hippokratész informatikai rendszert használnak” – áll az intézmény honlapján olvasható bejegyzésben.

A DNSC állítása szerint a támadásban használt rosszindulatú program a Backmydata ransomware, amely a távoli asztali protokoll (RDP) kapcsolatokon keresztül terjedő Phobos malware család része.

A Backmydata a megcélzott cél fájljainak titkosítására szolgál egy összetett algoritmus segítségével. A titkosított fájlok átnevezése a .backmydata kiterjesztéssel történik. A titkosítást követően a rosszindulatú program két váltságdíjról szóló feljegyzést (info.hta és info.txt) küld, amelyek részletezik a támadókkal való kapcsolatfelvételhez szükséges lépéseket és a váltságdíj kifizetésének részleteit.

A DNSC azt javasolja, hogy senki ne fizesse ki a váltságdíjat a támadóknak!

A támadók 157 000 eurós váltságdíjat követeltek

A DNSC egy nappal ezelőtt bejelentette, hogy 3,5 BTC (körülbelül 157 000 EURO) váltságdíjigény is van.

A támadók üzenete nem ad meg a támadást követelő csoport nevét, csak egy e-mail címet. Mind a DNSC, mind az incidens kivizsgálásában részt vevő más kiberbiztonsági hatóságok azt tanácsolják, hogy NE lépjenek kapcsolatba a támadókkal, és NE fizessék ki a kért váltságdíjat.

A Hippocrates platformot használó kórházak, függetlenül attól, hogy érintettek-e vagy sem, már február 12-én, hétfőn egy sor ajánlást kaptak a DNSC-től a helyzet megfelelő kezelésére:

  • Az érintett rendszerek azonosítása és azonnali elkülönítése a hálózat többi részétől, valamint az internettől
  • A váltságdíj-üzenet másolatának megőrzése és a támadók minden egyéb kommunikációja. Ez az információ hasznos a hatóságok számára vagy a támadás további elemzéséhez
  • Ne kapcsolja ki az érintett berendezést. A kikapcsolása eltávolítja az illékony memóriában (RAM) tárolt bizonyítékokat.
  • Gyűjtsön össze és őrizzen meg minden releváns naplóinformációt az érintett berendezésekről, de a hálózati eszközökről és a tűzfalról is
  • Vizsgálja meg a rendszernaplókat, hogy azonosítsa azt a mechanizmust, amellyel az IT-infrastruktúra veszélybe került
  • Az incidensről és annak mértékéről haladéktalanul értesítse az összes alkalmazottat, és értesítse az érintett ügyfeleket és üzleti partnereket
  • Az érintett rendszerek visszaállítása adatmentések alapján a teljes rendszertisztítás végrehajtása után. Feltétlenül szükséges gondoskodni arról, hogy a biztonsági mentések sértetlenek, naprakészek és biztonságosak legyenek a támadásokkal szemben
  • Győződjön meg arról, hogy minden program, alkalmazás és operációs rendszer a legújabb verzióra van frissítve, és hogy az összes ismert sebezhetőséget kijavították.

21 kórházat érintett a hétfői kibertámadás. A Pitesti Gyermekkórházat 2024. február 10-től, szombattól, a többi kórházat pedig 2024. február 11-12-től érintette:

  • Buzau Megyei Sürgősségi Kórház
  • Slobozia Megyei Sürgősségi Kórház
  • „St. Apostol Andrei” Constanța Megyei Sürgősségi Klinikai Kórház
  • Pitesti Megyei Sürgősségi Kórház
  • Katonai Sürgősségi Kórház „Dr. Alexandru Gafencu” Constanța
  • Szív- és érrendszeri Betegségek Intézete Temesvár
  • Sürgősségi Megyei Kórház „Dr. Constantin Opriș” Nagybányai
  • Sighetu Marmatiei Városi Kórház
  • Târgoviște Megyei Sürgősségi Kórház
  • Medgidia Városi Kórház
  • Fundeni Klinikai Intézet
  • Onkológiai Intézet „Prof. Dr. Al. Trestioreanu” Bukarest (IOB)
  • Jászvásári Regionális Onkológiai Intézet (IRO Iasi)
  • Azuga Ortopédiai és Traumatológiai Kórház
  • Băicoi városi kórház
  • Plasztikai Sebészet, Javítás és Égési Sürgősségi Klinikai Kórház Bukarest
  • St. Luke’s Hospital for Krónikus Betegségek
  • CF Klinikai Kórház sz. 2 Bukarest
  • Medical Center MALP SRL Moinești

A DNSC adatai szerint az egészségügyi rendszer többi 79 egysége lekapcsolódott az internetről, és további vizsgálatokat folytatnak rajtuk annak megállapítására, hogy ők voltak-e (vagy sem) a támadás célpontjai.

Az érintett kórházak többsége rendelkezik biztonsági mentéssel az érintett szerverek adatairól, az adatokat viszonylag nemrégiben (1-2-3 napja) mentették el, kivéve egyet, amelynek adatait 12 napja mentették el. Ez lehetővé tenné a szolgáltatások és adatok könnyebb visszaállítását.

A DIICOT tárgyi kutatást végez

A DIICOT bejelentette, hogy dologi vizsgálatot folytat rendszerhez való illegális hozzáférés, informatikai rendszerek működésének megzavarása, valamint informatikai programokkal vagy eszközökkel történő illegális műveletek miatt a több bukaresti és országos kórház tevékenységét érintő kibertámadás ügyében. hétfőn. A vizsgálatok az állami kórházak integrált informatikai rendszerének karbantartását végző két kereskedelmi társaság bejelentése nyomán indultak meg.

  • „2024.02.12-én Romániában a közkórházak integrált informatikai rendszerének karbantartását végző két kereskedelmi társaság értesítette a Szervezett Bűnözés és Terrorizmus Nyomozó Igazgatóságát azzal a ténnyel, hogy 2024. február 11-én és 12-én „azonosítatlan személyek” ransomware típusú vírussal támadta meg az integrált számítógépes rendszert és hardver infrastruktúrát, aminek a következménye volt a rendszer működésének és mindenféle kommunikációjának blokkolása, valamint a számítógépes adatbázisokhoz való hozzáférés korlátozása” – jelenti be a DIICOT a News.ro szerint. .

A megállapított ügyben dologi nyomozás folyik rendszerhez való jogosulatlan hozzáférés, számítógépes rendszerek működésének megzavarása, valamint számítógépes programokkal, eszközökkel történő jogellenes működés bűntett elkövetése miatt.

Fotó forrása: 8vfand,Dreamstime.com