Hakerzy włamali się do szpitala. Zmienili nazwy plików na "Przykro mi" i zażądali wysokiego okupu

Robert Kędzierski
Władze amerykańskiego szpitala Hancock Health otrzymały ultimatum od cyberprzestępców. Mogły zapłacić gigantyczny okup lub pozwolić na utratę danych pacjentów. Ostatecznie szpital uległ żądaniu przestępców.

W amerykańskim szpitalu Hancock Health doszło do ataku cyberprzestępców. Przejęli oni kontrolę nad częścią komputerów zainstalowanych w jednostce i zaszyfrowali dane. Nazwy 1400 plików zostały zmienione na "Przykro mi" (z ang. "I'm sorry). 

Władze instytucji dostały ultimatum. Przestępcy zażądali wpłaty w wysokości 55 tys. dol., albo możliwość odszyfrowania plików miała zostać utracona. 

Jak wyjaśnia portal greenfieldreporter.com szpital miał kopię danych przejętych przez hakerów. Mimo to zdecydował się zapłacić. Zdecydować miały wysokie koszty przywrócenia danych oraz zbyt długi czas, by operację przeprowadzić w sposób bezpieczny dla pacjentów. 

Okup wpłacono w sobotę za pomocą bitcoinów. Przestępcy dotrzymali danego słowa i odszyfrowali przejęte pliki. Zajęło to ponad dwie godziny. 

Wyjątkowo groźna odmiana ransomware

Pracownicy szpitala zeznali, że komputery wyraźnie zwolniły w czwartek. Takie nieoczekiwanie zachowanie maszyny było dowodem na to, że "w tle" ktoś szyfruje pliki. W tym wypadku przestępcy zastosowali dość groźny kod o nazwie SamSam. Jest on szczególnie niebezpieczny z kilku powodów. W odróżnieniu od dziesiątków innych ransomware nie infekuje maszyn poprzez phishing - fałszywy e-mail zawierający złośliwy załącznik. Przestępcy musieli znaleźć słabe strony w zabezpieczeniu sieci szpitala, co pozwoliło na zdalne uruchomienie robaka. 

Czytaj też: Znamy listę polskich miast, które do 2050 roku praktycznie opustoszeją

SamSam, podobnie jak WannaCry, robak, który zainfekował w zeszłym roku dziesiątki tysięcy komputerów, samodzielnie rozprzestrzenia się w obrębie sieci. Wystarczy więc przejęcie kontroli nad jedną maszyną, by zablokować pliki wszystkim korzystającym ze wspólnej infrastruktury. Po trzecie zaś ten rodzaj ransomware wykazuje się samodzielnością -  w odróżnieniu od mniej groźnych wariantów nie czeka na polecenia przesyłane za pomocą serwera C&C (Command and Control) - szyfruje pliki bezzwłocznie po przedostaniu się do systemu ofiary.

Badacze określają ten sposób działania jako "offline ransomware" - może więc zadziałać nawet na maszynach odciętych od internetu. Wystarczy, że kod przedostanie się do instytucji na jakimś nośniku albo na maszynie, którą jakiś pracownik podłączył do zewnętrznej sieci - na przykład zabrał do domu. To jeszcze jeden dowód na to, że twórcy SamSam wykorzystują najnowocześniejsze techniki ataku. 

Przestępcy bez skrupułów

To nie pierwszy raz, kiedy cyberprzestępcy działają bez skrupułów i narażają życie i zdrowie pacjentów szpitala. W zeszłym roku ofiarą podobnego ataku padł pewien szpital w Hollywood. I w tym wypadku maszyny zarządzające danymi pacjentów zostały zaszyfrowane. Zarządzający instytucją zdecydowali się wnieść opłatę w bitcoinach wynoszącą 17 tys. dol. Uznali, że to najbardziej efektywny sposób przywrócenia normalnego funkcjonowania jednostki.

Szpitale na celowniku

Firma Deloitte w 2016 roku sprawdziła jak wygląda kwestia zabezpieczenia placówek medycznych przed atakami. Zbadano 24 szpitale w 9 krajach pod kątem bezpieczeństwa urządzeń medycznych podłączonych do sieci. Z raportu wynika, że większość urządzeń posiada hasła fabryczne, nie szyfruje komunikacji sieciowej oraz ujawnia wiele podatności, którymi nikt nie zarządza.

Według danych Instytutu Ponemon, prawie 90 proc. organizacji opieki zdrowotnej w USA doświadczyło wycieku danych pacjentów w okresie ostatnich dwóch lat, z kolei 45 proc. placówek w okresie 5 lat.

- Większość dokumentacji medycznej jest prowadzona w formie elektronicznej. Hakerzy mogą wykorzystać brak zabezpieczeń lub istniejące luki w systemach informatycznych placówek medycznych do przeprowadzenia nielegalnej działalności. Do takich sytuacji dochodzi coraz częściej, także w Polsce 

- tłumaczy Piotr Kałuża ze Stormshield

FBI w swoim poradniku odradza płacenie okupu przestępcom używającym ransomware. Jednocześnie agencja zostawia wolną rękę czy okup płacić, kiedy  chodzi o dobro udziałowców, pracowników lub klientów danej jednostki.

***

Czym właściwie jest rosnący w siłę bitcoin?