Nemzeti Kiberbiztonsági Igazgatóság (DNSC) – árulta el szerdán ki az a feltört cég, amely a 26 kórháznak szállított Hippocrates IT-rendszert (más néven HIS) forgalmazza.
RansomwareFotó: 8vfand, Dreamstime.com
„2024. február 11-ről 12-re virradó éjszaka ransomware típusú kibertámadást hajtottak végre a Hipocrate IT rendszert (más néven HIS) fejlesztő, adminisztráló és forgalmazó román Soft Company (RSC) www.rsc.ro ellen. A DNSC adatai szerint a támadás Romániában 26 olyan kórház tevékenységét zavarta meg, amelyek Hippokratész informatikai rendszert használnak” – áll az intézmény honlapján olvasható bejegyzésben.
A DNSC állítása szerint a támadásban használt rosszindulatú program a Backmydata ransomware, amely a távoli asztali protokoll (RDP) kapcsolatokon keresztül terjedő Phobos malware család része.
A Backmydata a megcélzott cél fájljainak titkosítására szolgál egy összetett algoritmus segítségével. A titkosított fájlok átnevezése a .backmydata kiterjesztéssel történik. A titkosítást követően a rosszindulatú program két váltságdíjról szóló feljegyzést (info.hta és info.txt) küld, amelyek részletezik a támadókkal való kapcsolatfelvételhez szükséges lépéseket és a váltságdíj kifizetésének részleteit.
A DNSC azt javasolja, hogy senki ne fizesse ki a váltságdíjat a támadóknak!
A támadók 157 000 eurós váltságdíjat követeltek
A DNSC egy nappal ezelőtt bejelentette, hogy 3,5 BTC (körülbelül 157 000 EURO) váltságdíjigény is van.
A támadók üzenete nem ad meg a támadást követelő csoport nevét, csak egy e-mail címet. Mind a DNSC, mind az incidens kivizsgálásában részt vevő más kiberbiztonsági hatóságok azt tanácsolják, hogy NE lépjenek kapcsolatba a támadókkal, és NE fizessék ki a kért váltságdíjat.
A Hippocrates platformot használó kórházak, függetlenül attól, hogy érintettek-e vagy sem, már február 12-én, hétfőn egy sor ajánlást kaptak a DNSC-től a helyzet megfelelő kezelésére:
- Az érintett rendszerek azonosítása és azonnali elkülönítése a hálózat többi részétől, valamint az internettől
- A váltságdíj-üzenet másolatának megőrzése és a támadók minden egyéb kommunikációja. Ez az információ hasznos a hatóságok számára vagy a támadás további elemzéséhez
- Ne kapcsolja ki az érintett berendezést. A kikapcsolása eltávolítja az illékony memóriában (RAM) tárolt bizonyítékokat.
- Gyűjtsön össze és őrizzen meg minden releváns naplóinformációt az érintett berendezésekről, de a hálózati eszközökről és a tűzfalról is
- Vizsgálja meg a rendszernaplókat, hogy azonosítsa azt a mechanizmust, amellyel az IT-infrastruktúra veszélybe került
- Az incidensről és annak mértékéről haladéktalanul értesítse az összes alkalmazottat, és értesítse az érintett ügyfeleket és üzleti partnereket
- Az érintett rendszerek visszaállítása adatmentések alapján a teljes rendszertisztítás végrehajtása után. Feltétlenül szükséges gondoskodni arról, hogy a biztonsági mentések sértetlenek, naprakészek és biztonságosak legyenek a támadásokkal szemben
- Győződjön meg arról, hogy minden program, alkalmazás és operációs rendszer a legújabb verzióra van frissítve, és hogy az összes ismert sebezhetőséget kijavították.
21 kórházat érintett a hétfői kibertámadás. A Pitesti Gyermekkórházat 2024. február 10-től, szombattól, a többi kórházat pedig 2024. február 11-12-től érintette:
- Buzau Megyei Sürgősségi Kórház
- Slobozia Megyei Sürgősségi Kórház
- „St. Apostol Andrei” Constanța Megyei Sürgősségi Klinikai Kórház
- Pitesti Megyei Sürgősségi Kórház
- Katonai Sürgősségi Kórház „Dr. Alexandru Gafencu” Constanța
- Szív- és érrendszeri Betegségek Intézete Temesvár
- Sürgősségi Megyei Kórház „Dr. Constantin Opriș” Nagybányai
- Sighetu Marmatiei Városi Kórház
- Târgoviște Megyei Sürgősségi Kórház
- Medgidia Városi Kórház
- Fundeni Klinikai Intézet
- Onkológiai Intézet „Prof. Dr. Al. Trestioreanu” Bukarest (IOB)
- Jászvásári Regionális Onkológiai Intézet (IRO Iasi)
- Azuga Ortopédiai és Traumatológiai Kórház
- Băicoi városi kórház
- Plasztikai Sebészet, Javítás és Égési Sürgősségi Klinikai Kórház Bukarest
- St. Luke’s Hospital for Krónikus Betegségek
- CF Klinikai Kórház sz. 2 Bukarest
- Medical Center MALP SRL Moinești
A DNSC adatai szerint az egészségügyi rendszer többi 79 egysége lekapcsolódott az internetről, és további vizsgálatokat folytatnak rajtuk annak megállapítására, hogy ők voltak-e (vagy sem) a támadás célpontjai.
Az érintett kórházak többsége rendelkezik biztonsági mentéssel az érintett szerverek adatairól, az adatokat viszonylag nemrégiben (1-2-3 napja) mentették el, kivéve egyet, amelynek adatait 12 napja mentették el. Ez lehetővé tenné a szolgáltatások és adatok könnyebb visszaállítását.
A DIICOT tárgyi kutatást végez
A DIICOT bejelentette, hogy dologi vizsgálatot folytat rendszerhez való illegális hozzáférés, informatikai rendszerek működésének megzavarása, valamint informatikai programokkal vagy eszközökkel történő illegális műveletek miatt a több bukaresti és országos kórház tevékenységét érintő kibertámadás ügyében. hétfőn. A vizsgálatok az állami kórházak integrált informatikai rendszerének karbantartását végző két kereskedelmi társaság bejelentése nyomán indultak meg.
- „2024.02.12-én Romániában a közkórházak integrált informatikai rendszerének karbantartását végző két kereskedelmi társaság értesítette a Szervezett Bűnözés és Terrorizmus Nyomozó Igazgatóságát azzal a ténnyel, hogy 2024. február 11-én és 12-én „azonosítatlan személyek” ransomware típusú vírussal támadta meg az integrált számítógépes rendszert és hardver infrastruktúrát, aminek a következménye volt a rendszer működésének és mindenféle kommunikációjának blokkolása, valamint a számítógépes adatbázisokhoz való hozzáférés korlátozása” – jelenti be a DIICOT a News.ro szerint. .
A megállapított ügyben dologi nyomozás folyik rendszerhez való jogosulatlan hozzáférés, számítógépes rendszerek működésének megzavarása, valamint számítógépes programokkal, eszközökkel történő jogellenes működés bűntett elkövetése miatt.
Fotó forrása: 8vfand,Dreamstime.com
