Hakerzy włamali się do szpitala. Zmienili nazwy plików na "Przykro mi" i zażądali wysokiego okupu

Robert Kędzierski
Władze amerykańskiego szpitala Hancock Health otrzymały ultimatum od cyberprzestępców. Mogły zapłacić gigantyczny okup lub pozwolić na utratę danych pacjentów. Ostatecznie szpital uległ żądaniu przestępców.

W amerykańskim szpitalu Hancock Health doszło do ataku cyberprzestępców. Przejęli oni kontrolę nad częścią komputerów zainstalowanych w jednostce i zaszyfrowali dane. Nazwy 1400 plików zostały zmienione na "Przykro mi" (z ang. "I'm sorry). 

Władze instytucji dostały ultimatum. Przestępcy zażądali wpłaty w wysokości 55 tys. dol., albo możliwość odszyfrowania plików miała zostać utracona. 

Jak wyjaśnia portal greenfieldreporter.com szpital miał kopię danych przejętych przez hakerów. Mimo to zdecydował się zapłacić. Zdecydować miały wysokie koszty przywrócenia danych oraz zbyt długi czas, by operację przeprowadzić w sposób bezpieczny dla pacjentów. 

Okup wpłacono w sobotę za pomocą bitcoinów. Przestępcy dotrzymali danego słowa i odszyfrowali przejęte pliki. Zajęło to ponad dwie godziny. 

Wyjątkowo groźna odmiana ransomware

Pracownicy szpitala zeznali, że komputery wyraźnie zwolniły w czwartek. Takie nieoczekiwanie zachowanie maszyny było dowodem na to, że "w tle" ktoś szyfruje pliki. W tym wypadku przestępcy zastosowali dość groźny kod o nazwie SamSam. Jest on szczególnie niebezpieczny z kilku powodów. W odróżnieniu od dziesiątków innych ransomware nie infekuje maszyn poprzez phishing - fałszywy e-mail zawierający złośliwy załącznik. Przestępcy musieli znaleźć słabe strony w zabezpieczeniu sieci szpitala, co pozwoliło na zdalne uruchomienie robaka. 

Czytaj też: Znamy listę polskich miast, które do 2050 roku praktycznie opustoszeją

SamSam, podobnie jak WannaCry, robak, który zainfekował w zeszłym roku dziesiątki tysięcy komputerów, samodzielnie rozprzestrzenia się w obrębie sieci. Wystarczy więc przejęcie kontroli nad jedną maszyną, by zablokować pliki wszystkim korzystającym ze wspólnej infrastruktury. Po trzecie zaś ten rodzaj ransomware wykazuje się samodzielnością -  w odróżnieniu od mniej groźnych wariantów nie czeka na polecenia przesyłane za pomocą serwera C&C (Command and Control) - szyfruje pliki bezzwłocznie po przedostaniu się do systemu ofiary.

Badacze określają ten sposób działania jako "offline ransomware" - może więc zadziałać nawet na maszynach odciętych od internetu. Wystarczy, że kod przedostanie się do instytucji na jakimś nośniku albo na maszynie, którą jakiś pracownik podłączył do zewnętrznej sieci - na przykład zabrał do domu. To jeszcze jeden dowód na to, że twórcy SamSam wykorzystują najnowocześniejsze techniki ataku. 

Przestępcy bez skrupułów

To nie pierwszy raz, kiedy cyberprzestępcy działają bez skrupułów i narażają życie i zdrowie pacjentów szpitala. W zeszłym roku ofiarą podobnego ataku padł pewien szpital w Hollywood. I w tym wypadku maszyny zarządzające danymi pacjentów zostały zaszyfrowane. Zarządzający instytucją zdecydowali się wnieść opłatę w bitcoinach wynoszącą 17 tys. dol. Uznali, że to najbardziej efektywny sposób przywrócenia normalnego funkcjonowania jednostki.

Szpitale na celowniku

Firma Deloitte w 2016 roku sprawdziła jak wygląda kwestia zabezpieczenia placówek medycznych przed atakami. Zbadano 24 szpitale w 9 krajach pod kątem bezpieczeństwa urządzeń medycznych podłączonych do sieci. Z raportu wynika, że większość urządzeń posiada hasła fabryczne, nie szyfruje komunikacji sieciowej oraz ujawnia wiele podatności, którymi nikt nie zarządza.

Według danych Instytutu Ponemon, prawie 90 proc. organizacji opieki zdrowotnej w USA doświadczyło wycieku danych pacjentów w okresie ostatnich dwóch lat, z kolei 45 proc. placówek w okresie 5 lat.

- Większość dokumentacji medycznej jest prowadzona w formie elektronicznej. Hakerzy mogą wykorzystać brak zabezpieczeń lub istniejące luki w systemach informatycznych placówek medycznych do przeprowadzenia nielegalnej działalności. Do takich sytuacji dochodzi coraz częściej, także w Polsce 

- tłumaczy Piotr Kałuża ze Stormshield

FBI w swoim poradniku odradza płacenie okupu przestępcom używającym ransomware. Jednocześnie agencja zostawia wolną rękę czy okup płacić, kiedy  chodzi o dobro udziałowców, pracowników lub klientów danej jednostki.

***

Czym właściwie jest rosnący w siłę bitcoin?

Więcej o:
Komentarze (18)
Hakerzy włamali się do szpitala. Zmienili nazwy plików na "Przykro mi" i zażądali gigantycznego okupu
Zaloguj się
  • exsero

    Oceniono 2 razy 2

    Szkoda, że w tym szpitalu w czasie ich "zabawy" nie wylądował ktoś z rodziny. Banda degeneratów i tyle.

  • tukan45

    Oceniono 5 razy 1

    Ufffff.. A coz to za szpital i administrator serwera ze nie bylo backapu z dnia z przed wlamania? Szpital mogl by pokazac srodkowy palec hackerzatkom. Przywraca sie dane z kopii zapasowej i tyle. Jesli nie bylo backapu to ja nazywam takich informatykow ,,spiacymi administratorami,, Informatycy do wymiany. Ludzie ktorzy macie wazne dane na serwerach w swoich firmach lub na pc-tach stacjonarnych ostatnia rzecza ktora sie robi przed wyjsciem z firmy jest najpierw zrobienie backapow nastepnie zgaszenie swiatla i zamkniecie drzw. Najlepiej jeszcze jest jesli kopie zapasowe znajduja sie poza firma na wypadek wlamania, pozaru itd..Jestem przekonany o tym iz mala garstka informatykow w malych czy wiekszych firmach tego nie rob do czasu za sie obudza z reka w nocniku. Szefowie firm i przezesi zapytajcie o to swoich informatykow. I niech wam takie kopie bezpieczenstwa pokaza. Jesli tego nie ma w firmie to informatyka nalezy natychmiast zwolnic. Sprzet mozna kupic oprogramowanie tez ale juz danych sie nie kupi.
    Pozdrawiam wszystkich spiacych administratorow serwerow, spijcie snem lagodnym.

  • diesel_poznan

    Oceniono 1 raz 1

    Jeszcze kilka takich okupów w niby bezpiecznym bitcoinie i zacznie się próba delegalizacji tego typu środków płatniczych.

  • qwerfvcxzasd

    0

    Złodziej okradł złodzieja. Odbija sobie te 50K jednym zabiegiem zszycia paluszka 5 latkowi.

  • alfalfa

    0

    Nie chcę psuć humoru ale nawet hakerzy nie wiedzieli, że trafili w szpital. Jeśli ktoś myśli, że jakiś haker siedział i kombinował jak się włamać aż w końcu mu się udało to jest skrajnie naiwny. To oprogramowanie działa całkowicie automatycznie i ładuje się tam, gdzie znajdzie dziurę. Tak jak napisał tukan45 - tylko backup.
    A.

  • uniwr

    0

    55 tys. dol. to gigantyczny okup?
    Litości.

  • tonz2

    0

    W Polsce taki atak na szpital jest nie do pomyślenia. Ciężko użyć ataku ransomwere do papierowej dokumentacji

  • Private Szwejk

    Oceniono 2 razy 0

    Nie potrafię zrozumieć jak to jest, że komputery zawierające tego rodzaju dane wrażliwe są połączone z internetem. Moje zdumienie dotyczy nie tylko tego przypadku, ale licznych innych, o których donosiły uprzednio media, związanych z kradzieżą informacji o znaczeniu wojskowym czy gospodarczym, projektów nowoczesnych głowic jądrowych, elementów F-35, etc.
    Zdrowy rozsądek podpowiada, że jeśli takie dane muszą być dostępne sieciowo (co jest zrozumiałe), to taka sieć powinna być hermetyczna, bez możliwości nieuprawnionego dostępu z zewnątrz, i ze ściśle racjonowanym dostępem do kopiowania danych wewnątrz.

  • jan.janowicz65

    Oceniono 2 razy 0

    Przecież takich sqrwysynów można namierzyć, za każdy atak kara śmierci i skończyłoby się raz na zawsze.

Aby ocenić zaloguj się lub zarejestrujX