Încă un spital, afectat de atacul cibernetic: Serverul spitalului de boli cronice din Smeeni a fost criptat. De ce s-a descoperit abia după 2 zile
Directoratul Național de Securitate Cibernetică a fost notificat miercuri că serverul pe care rula aplicația Hipocrate pentru Spitalul de Boli Cronice Smeeni a fost criptat cu aceeași variantă de ransomware. DNSC spune că infectarea s-a produs în aceeași perioadă (12.02.2024) în care au fost afectate servere similare din alte spitale, dar o pană de curent la acest spital a împiedicat constatarea și raportarea acestui incident.
Ransomware-ul este un malware (software malițios) ce împiedică accesul la fișiere sau chiar la întregul sistem informatic infectat, până la plata unei „recompense” (ransom).
- „Coincidența face ca spitalul să fi suferit o pană de curent care a împiedicat constatarea faptului că acel server era afectat. În acest caz se iau măsuri de remediere a problemei și de restaurare a datelor din backup”, a precizat miercuri DNSC.
Directoratul reamintește faptul că, în conformitate cu Legea 362/2018, operatorii de servicii esențiale au obligația de a notifica de îndată DNSC, în calitate de CSIRT național, incidentele care au un impact semnificativ asupra continuității serviciilor esențiale.
Notificarea de îndată a afectării serviciilor esențiale se face şi în situația în care afectarea se datorează unor incidente care afectează un furnizor de servicii digitale de care depinde furnizarea serviciilor esențiale.
- „Ne aflăm exact în scenariul incidentului cu ransomware Backmydata/Phobos care a afectat zeci de spitale din România. Furnizorul de servicii care gestionează aplicația HIPOCRATE a notificat DNSC după ce a sesizat incidentul, înaintea oricărei notificări formale din partea spitalelor”, menționează DNSC.
Directoratul a venit și cu o corecție privind impactul incidentului cibernetic cu ransomware Backmydata/Phobos.
„Clinica Sante Călărași a fost inclusă în mod eronat pe 13 februarie în lista entităților afectate de atacul cu ransomware. A fost actualizată această informație în comunicările anterioare ale Directoratului. În acest caz entitatea afectată este de fapt Santa Clinic Mitreni (Călărași). Ne cerem scuze pentru această inacuratețe”, menționează DNSC.
Prin urmare, cu o zi în urmă incidentul de securitate a fost confirmat la încă 4 spitale, respectiv:
- Institutul de Fonoaudiologie și Chirurgie Funcțională ORL „Prof. Dr. D. Hociotă”, București
- Sanatoriul de Pneumoftiziologie Brad, Hunedoara
- Spitalul de Pneumoftiziologie Roșiorii de Vede
- Centrul Medical Santa Clinic Mitreni
Atacatorii au trimis o cerere de răscumpărare de 157.000 de euro
DNSC a anunțat cu o zi în urmă că există și o cerere de ransom (răscumpărare) de 3,5 BTC (aproximativ 157.000 EURO).
În mesajul atacatorilor nu se specifică un nume de grupare care revendică acest atac, ci doar o adresă de e-mail. Atât DNSC, cât și alte autorități cu atribuții în domeniul securității cibernetice implicate în analiza acestui incident recomandă să NU se ia legătura cu atacatorii și să nu se plătească răscumpărarea cerută.
Spitalele care folosesc platforma Hipocrate, indiferent dacă au fost afectate sau nu, au primit încă de luni, 12 februarie, din partea DNSC o serie de recomandări pentru gestionarea corectă a situației:
- Identificarea sistemelor afectate și izolarea lor imediată de restul rețelei, cât și de la internet
- Păstrarea unei copii a mesajului de răscumpărare și orice alte comunicări de la atacatori. Aceste informații sunt utile pentru autorități sau pentru analiza ulterioară a atacului
- Să nu oprească echipamentul afectat. Oprirea acestuia va elimina dovezile păstrate în memoria volatilă (RAM)
- Să colecteze și să păstreze toate informațiile de tip jurnal relevante, de pe echipamentele afectate, dar și de la echipamente de rețea, firewall
- Să examineze jurnalele de sistem pentru a identifica mecanismul prin care a fost compromisă infrastructura IT
- Să informeze imediat toți angajații și să notifice clienții și partenerii de afaceri afectați cu privire la incident și amploarea acestuia
- Să restaureze sistemele afectate pe baza copiilor de rezervă a datelor, după ce s-a efectuat o curățare completă a sistemelor. Este absolut necesar să se asigure că backup-urile sunt neafectate, actualizate și sigure împotriva atacurilor
- Să se asigure că toate programele, aplicațiile și sistemele de operare sunt actualizate la ultimele versiuni și că toate vulnerabilitățile cunoscute sunt corectate
21 de spitale au fost afectate în urma atacului cibernetic de luni. Spitalul de Pediatrie Pitești a fost afectat începând cu data de sâmbătă 10 februarie 2024. Celelalte spitale au fost afectate începând cu 11-12 februarie 2024:
- Spitalul Județean de Urgență Buzău
- Spitalul Județean de Urgență Slobozia
- Spitalul Clinic Județean de Urgență „Sf. Apostol Andrei” Constanța
- Spitalul Județean de Urgență Pitești
- Spitalul Militar de Urgență „Dr. Alexandru Gafencu” Constanța
- Institutul de Boli Cardiovasculare Timișoara
- Spitalul Județean de Urgență „Dr. Constantin Opriș” Baia Mare
- Spitalul Municipal Sighetu Marmației
- Spitalul Județean de Urgență Târgoviște
- Spitalul Clinic Colțea
- Spitalul Municipal Medgidia
- Institutul Clinic Fundeni
- Institutul Oncologic „Prof. Dr. Al. Trestioreanu” București (IOB)
- Institutul Regional de Oncologie Iași (IRO Iași)
- Spitalul de Ortopedie și Traumatologie Azuga
- Spitalul orășenesc Băicoi
- Spitalul Clinic de Urgență Chirurgie Plastică, Reparatorie și Arsuri București
- Spitalul de Boli Cronice Sf. Luca
- Spitalul Clinic C.F. nr. 2 București
- Centrul medical MALP SRL Moinești
Conform datelor DNSC, celelalte 79 de unități din sistemul de sănătate au fost deconectate de la internet și asupra lor se desfășoară investigații suplimentare pentru a se stabili daca au fost (sau nu) ținta atacului.
Majoritatea spitalelor afectate au copii de siguranță a datelor de pe serverele afectate, cu date salvate relativ recent (1-2-3 zile în urmă) cu excepția unuia, ale cărui date au fost salvate cu 12 zile în urmă. Aceasta ar putea permite restaurarea mai facilă a serviciilor și a datelor.
DIICOT face cercetări in rem
DIICOT anunţă că face cercetări in rem pentru acces ilegal la un sistem, perturbarea funcţionării sistemelor informatice şi operaţiuni ilegale cu programe sau dispozitive informatice în cazul atacului cibernetic care a afectat luni activitatea mai multor spitale din Bucureăti şi din ţară. Cercetările au fost declanşate în urma sesizării a două societăţi comerciale care prestează servicii de mentenanţă a sistemului informatic integrat al spitalelor publice.
- „La data de 12.02.2024, două societăţi comerciale care prestează servicii de mentenanţă a sistemului informatic integrat al spitalelor publice din România au sesizat Direcţia de Investigare a Infracţiunilor de Criminalitate Organizată şi Terorism cu faptul că, în zilele de 11 şi 12 februarie 2024, persoane neidentificate au atacat sistemul informatic integrat şi infrastructura hardware cu un virus de tip ransomware ce a avut drept consecinţă blocarea funcţionării acestui sistem şi a comunicaţiilor de orice fel, precum şi restricţionarea accesului la bazele de date informatice”, anunţă DIICOT, potrivit News.ro.
În cauza constituită au loc cercetări, in rem, privind săvârşirea infracţiunilor de acces ilegal la un sistem, perturbarea funcţionării sistemelor informatice şi operaţiuni ilegale cu programe sau dispozitive informatice.
Sursa foto: Dreamstime.com