Hírek

Egy másik kórház, amelyet a kibertámadás érintett: A smeeni krónikus betegségek kórházának szerverét titkosították. Miért csak 2 nap múlva fedezték fel

#image_title
409views

Az Országos Kiberbiztonsági Igazgatóságot szerdán értesítették arról, hogy a Smeeni Chronic Disease Hospital Hippocrates alkalmazását futtató szervert a ransomware ugyanazzal a változatával titkosították. A DNSC szerint a fertőzés nagyjából ugyanabban az időben (2024. 02. 12.) történt, amikor más kórházak hasonló szerverei is érintettek, de egy áramszünet miatt nem tudta megtalálni és jelenteni, hogy ez a szerver is érintett.

RansomwareFotó: Vchalup, Dreamstime.com

A zsarolóprogramok olyan rosszindulatú programok (rosszindulatú szoftverek), amelyek megakadályozzák a hozzáférést a fájlokhoz vagy akár a teljes fertőzött számítógépes rendszerhez, amíg a „jutalmat” (váltságdíjat) ki nem fizetik.

  • „Véletlenül a kórházban áramkimaradás történt, ami miatt nem tudta észlelni, hogy a szerver érintett. Ebben az esetben intézkedéseket tesznek a probléma megoldására és az adatok visszaállítására a biztonsági másolatból.” – közölte szerdán a DNSC.

Az Igazgatóság emlékeztet arra, hogy a 362/2018-as törvény értelmében az alapvető szolgáltatások üzemeltetői kötelesek haladéktalanul értesíteni a DNSC-t, mint nemzeti CSIRT-t az olyan eseményekről, amelyek jelentős hatással vannak az alapvető szolgáltatások folyamatosságára.

Az alapvető szolgáltatások értékvesztésének azonnali bejelentésére akkor is sor kerül, ha az értékvesztés olyan digitális szolgáltatót érintő incidensek miatt következik be, amelyektől az alapvető szolgáltatások nyújtása függ.

  • „Pontosan a Backmydata/Phobos ransomware incidens forgatókönyvében vagyunk, amely több tucat romániai kórházat érintett. A HIPOCRATE alkalmazást kezelő szolgáltató értesítette a DNSC-t, miután tudomást szerzett az incidensről, még a kórházak hivatalos értesítése előtt” – írja a DNSC.

Az igazgatóság egy szónoklattal is előállt a Backmydata/Phobos ransomware kiberincidens hatásáról

„A Sante Călărași Clinic február 13-án tévesen került fel a ransomware támadás által érintett entitások listájára. Ezt az információt az igazgatóság korábbi közleményei frissítették. Ebben az esetben az érintett entitás valójában a Santa Clinic Mitreni (Călăraşi). Elnézést kérünk a pontatlanságért” – mondta a DNSC.

Ezért egy nappal ezelőtt további 4 kórházban erősítették meg a biztonsági incidenst.

A támadók 157 000 eurós váltságdíjat követeltek

A DNSC egy napja jelentette be, hogy 3,5 BTC (körülbelül 157 000 EURO) váltságdíjigény (beváltás) is van.

A támadók üzenete nem ad meg a támadást követelő csoport nevét, csak egy e-mail címet. Mind a DNSC, mind az incidens kivizsgálásában részt vevő más kiberbiztonsági hatóságok azt tanácsolják, hogy NE lépjenek kapcsolatba a támadókkal, és NE fizessék ki a kért váltságdíjat.

A Hippocrates platformot használó kórházak, függetlenül attól, hogy érintettek-e vagy sem, már február 12-én, hétfőn egy sor ajánlást kaptak a DNSC-től a helyzet megfelelő kezelésére:

  • Az érintett rendszerek azonosítása és azonnali elkülönítése a hálózat többi részétől, valamint az internettől
  • A váltságdíj-üzenet másolatának megőrzése és a támadók minden egyéb kommunikációja. Ez az információ hasznos a hatóságok számára vagy a támadás további elemzéséhez
  • Ne kapcsolja ki az érintett berendezést. A kikapcsolása eltávolítja az illékony memóriában (RAM) tárolt bizonyítékokat.
  • Gyűjtsön össze és őrizzen meg minden releváns naplóinformációt az érintett berendezésekről, de a hálózati eszközökről és a tűzfalról is
  • Vizsgálja meg a rendszernaplókat, hogy azonosítsa azt a mechanizmust, amellyel az IT-infrastruktúra veszélybe került
  • Az incidensről és annak mértékéről haladéktalanul értesítse az összes alkalmazottat, és értesítse az érintett ügyfeleket és üzleti partnereket
  • Az érintett rendszerek visszaállítása adatmentések alapján a teljes rendszertisztítás végrehajtása után. Feltétlenül szükséges gondoskodni arról, hogy a biztonsági mentések sértetlenek, naprakészek és biztonságosak legyenek a támadásokkal szemben
  • Győződjön meg arról, hogy minden program, alkalmazás és operációs rendszer a legújabb verzióra van frissítve, és hogy az összes ismert sebezhetőséget kijavították.

21 kórházat érintett a hétfői kibertámadás. A Pitesti Gyermekkórházat 2024. február 10-től, szombattól, a többi kórházat pedig 2024. február 11-12-től érintette:

  • Buzau Megyei Sürgősségi Kórház
  • Slobozia Megyei Sürgősségi Kórház
  • „St. Apostol Andrei” Constanța Megyei Sürgősségi Klinikai Kórház
  • Pitesti Megyei Sürgősségi Kórház
  • Katonai Sürgősségi Kórház „Dr. Alexandru Gafencu” Constanța
  • Szív- és érrendszeri Betegségek Intézete Temesvár
  • Sürgősségi Megyei Kórház „Dr. Constantin Opriș” Nagybányai
  • Sighetu Marmatiei Városi Kórház
  • Târgoviște Megyei Sürgősségi Kórház
  • Medgidia Városi Kórház
  • Fundeni Klinikai Intézet
  • Onkológiai Intézet „Prof. Dr. Al. Trestioreanu” Bukarest (IOB)
  • Jászvásári Regionális Onkológiai Intézet (IRO Iasi)
  • Azuga Ortopédiai és Traumatológiai Kórház
  • Băicoi városi kórház
  • Plasztikai Sebészet, Javítás és Égési Sürgősségi Klinikai Kórház Bukarest
  • St. Luke’s Hospital for Krónikus Betegségek
  • CF Klinikai Kórház sz. 2 Bukarest
  • Medical Center MALP SRL Moinești

A DNSC adatai szerint az egészségügyi rendszer többi 79 egysége lekapcsolódott az internetről, és további vizsgálatokat folytatnak rajtuk annak megállapítására, hogy ők voltak-e (vagy sem) a támadás célpontjai.

Az érintett kórházak többsége rendelkezik biztonsági mentéssel az érintett szerverek adatairól, az adatokat viszonylag nemrégiben (1-2-3 napja) mentették el, kivéve egyet, amelynek adatait 12 napja mentették el. Ez lehetővé tenné a szolgáltatások és adatok könnyebb visszaállítását.

A DIICOT tárgyi kutatást végez

A DIICOT bejelentette, hogy dologi vizsgálatot folytat rendszerhez való illegális hozzáférés, informatikai rendszerek működésének megzavarása, valamint informatikai programokkal vagy eszközökkel történő illegális műveletek miatt a több bukaresti és országos kórház tevékenységét érintő kibertámadás ügyében. hétfőn. A vizsgálatok az állami kórházak integrált informatikai rendszerének karbantartását végző két kereskedelmi társaság bejelentése nyomán indultak meg.

  • „2024.02.12-én Romániában a közkórházak integrált informatikai rendszerének karbantartását végző két kereskedelmi társaság értesítette a Szervezett Bűnözés és Terrorizmus Nyomozó Igazgatóságát azzal a ténnyel, hogy 2024. február 11-én és 12-én „azonosítatlan személyek” ransomware típusú vírussal támadta meg az integrált számítógépes rendszert és hardver infrastruktúrát, aminek a következménye volt a rendszer működésének és mindenféle kommunikációjának blokkolása, valamint a számítógépes adatbázisokhoz való hozzáférés korlátozása” – jelenti be a DIICOT a News.ro szerint. .

A megállapított ügyben dologi nyomozás folyik rendszerhez való jogosulatlan hozzáférés, számítógépes rendszerek működésének megzavarása, valamint számítógépes programokkal, eszközökkel történő jogellenes működés bűntett elkövetése miatt.

Fotó forrása: Dreamstime.com