100 болници в цяла Румъния са извадили системите си офлайн, след като рансъмуер атака засегна системата им за управление на здравеопазването.
Информационната система "Хипократ" (HIS), използвана от болниците за управление на медицинската дейност и данните на пациентите, беше таргетирана през уикенда и сега е офлайн, след като базата й данни беше криптирана.
Докато за 25 болници вече е потвърдено, че данните им са криптирани от нападателите, 75 други здравни заведения, използващи HIS, също са изнесли системите си офлайн като предпазна мярка, докато инцидентът се разследва.
"През нощта на 11 срещу 12 февруари 2024 г. масивна кибератака на ransomware беше насочена към производствените сървъри, работещи с информационната система HIS. В резултат на атаката системата е изключена, файловете и базите данни са криптирани", заявиха от румънското министерство на здравеопазването.
"Инцидентът се разследва от IT специалисти, включително експерти по киберсигурност от Националната дирекция по киберсигурност (DNSC) и се оценяват възможностите за възстановяване. Задействани са извънредни предпазни мерки и за останалите болници, които не са засегнати от нападението".
Атаката с рансъмуер засегна различни болници в цяла Румъния, включително регионални центрове и центрове за лечение на рак, като екип от експерти по киберсигурност на DNSC в момента разследва въздействието на атаката.
DNSC твърди, че нападателите са използвали рансъмуер Backmydata, за да криптират данните на болниците, вариант на ransomware от семейството на Phobos.
"Повечето от засегнатите болници имат резервни копия на данни на засегнатите сървъри, като данните са запазени сравнително наскоро (преди 1-2-3 дни) с изключение на една, чиито данни са запазени преди 12 дни", посочват от DNSC.
Нападателите са изпратили искане за откуп от 3,5 BTC (приблизително 157 000 евро). Името на групата, поемаща отговорност за атаката, обаче не се споменава в бележката за откуп, а само имейл адрес.
Откакто системите бяха изключени, лекарите бяха принудени да се върнат към писането на рецепти и воденето на записи на хартия.
"След като 400 компютъра и сървъри бяха изключени, работихме предимно на хартия", казва мениджърът на Регионалния институт по онкология Яш (IRO Iasi) Мирела Гросу пред Agerpres.
"Искам да кажа, че направихме непрекъснати записи за прием на хартия, записи за дневен прием на хартия, написахме препоръки за медицински тестове на хартия. Всичко се прави на хартия, точно както го правехме и преди години".
"Всички сървъри са спрени. Интернет също е спрян, така че няма да има загуба, изтичане на данни или нещо друго", добави системният инженер Флорин Трандабац.
Към момента няма информация каква рансъмуер операция е криптирала платформата за управление на медицинските услуги на болниците или дали по време на инцидента са били откраднати и лични или медицински данни на пациенти.
RSC (Romanian Soft Company SRL), доставчикът на софтуерни услуги зад здравната система на Хипократ, все още не е издал публично изявление относно този инцидент.
----------------------
Допълнителна информация
Backmydata е вариант на ransomware от семейството на Phobos.
Следния анализ на мауербайтс върху друг вариант от семейството на Фобос доста добре описва начина на работа: https://www.malwarebytes.com/blog/news/2019/07/a-deep-dive-into-phobos-ransomware