M.C.A.
19 feb. 2024
Vestea bună e că în atacul cibernetic din 11 februarie nu au fost furate date. Fișierele criptate de atacatori pot fi recuperate.
110 spitale din România au fost decuplate de la rețea începând cu 12 februarie, în urma unui atac informatic. 27 dintre ele au fost atacate direct de hackerii care au cerut recompensa în bitcoin.
Doar două spitale mai erau decuplate, miercuri după-amiază (14 februarie), de la rețeaua Hipocrate.
Administratorul platformei promitea rezolvarea urgentă a situației. Vestea bună e că în atacul cibernetic din 11 februarie nu au fost furate date. Fișierele criptate de atacatori pot fi recuperate.
Un al 27-lea spital a anunțat, pe 14 februarie, că a fost afectat de un atac cibernetic, la două zile după ce primele unități medicale au spus că au probleme cu platforma informatică.
Spitalul de Boli Cronice Smeeni, din județul Buzău, a raportat miercuri că are datele blocate de același virus care a atacat întreaga rețea de servere legate în platforma Hipocrate.
„Norocul” spitalului a fost că nu a avut energie electrică. În felul acesta, nimeni nu a știut că și Smeeni e pe listă până când au fost repornite calculatoarele.
Autoritățile analizează deja incidentul care a afectat activitatea tuturor spitalelor legate în rețea și trebuie să răspundă la mai multe întrebări:
cum au pătruns atacatorii în sistemul informatic al platformei Hipocrate?
de ce a fost atât de simplu ca virusul să se răspândească?
și, mai ales, cine sunt atacatorii?
Cum s-a produs atacul? Primul semnal, pe 10 februarie
„Cel mai probabil, atacul a plecat de la unul dintre clienții noștri”, explică, pentru Europa Liberă, Alexandru Silviu Cârstea, administratorul Genius IT Solutions, una dintre firmele care gestionează platforma Hipocrate.
„Analizăm cronologic cum s-au întâmplat lucrurile și avem în atenție două spitale”. mai spune el.
Primul semnal al unui posibil atac cibernetic a venit pe 10 februarie, de la Pitești. Serverul Spitalului de Pediatrie, pe care funcționa platforma Hipocrate, fusese virusat. A fost informat Departamentul Național de Securitate Cibernetică (DNSC), spune Silviu Alexandru Cârstea.
Alarma generală s-a dat, însă, pe 12 februarie dimineața, după ce prezența virusului a fost semnalată în întreaga rețea.
De ce nu pe 10 ianuarie?
„Pentru că a fost un eveniment izolat, fără efecte asupra întregii rețele”, explică Silviu Alexandru Cârstea pentru Europa Liberă.
Au urmat măsuri rapide de limitare a propagării virusului și de limitare a efectelor sale. „Faptul că am intervenit rapid a făcut ca doar aproximativ 15% din clienții (spitale, clinici și policlinici - n.r.) noștri să fie afectați”, spune Silviu Cârstea.
Limitarea s-a făcut prin scoaterea din rețea a serverelor locale, de la fiecare spital, și trecerea lor în modul de lucru intranet, adică doar cu resursele locale.
În total, serverele locale de la 27 de spitale din cele peste 100 legate în rețeaua Hipocrate au fost virusate.
Cum s-a manifestat „virusarea”?
Odată pătruns într-un sistem, virusul a logat toți utilizatorii și a criptat fișierele.
„Virusul BackMyData criptează fișierele, redenumește fișierele și oferă două note de răscumpărare ("info.hta" și "info.txt").
BackMyData redenumește fișierele atacate adăugând ID-ul victimei, o adresă de e-mail (backmydata@skiff.com) și extensia „.backmydata”.
De exemplu, se schimbă:
„1.jpg” în 1.jpg.id[9ECFA84E-3511].[backmydata@skiff.com].backmydata”,
„2.png” în „2.png.id[9ECFA84E-3511”.].[backmydata@skiff.com].backmydata”,
și așa mai departe”, explică modul de acțiune specialiștii de la PCrisk.com.
Prin urmare, utilizatorii nu mai pot accesa niciunul din aceste fișiere criptate. În fișierul info.txt apare mesajul atacatorilor.
Nota de răscumpărare scrisă automat de virus informează victima că rețeaua ei a fost piratată și fișierele criptate.
Evidențiază gravitatea situației prin menționarea furtului de date confidențiale, inclusiv informații despre angajați, clienți, parteneri și documentația internă a companiei.
Nota afirmă că toate datele vor rămâne stocate până când se plătește o răscumpărare, scriu specialiștii de la pcrisk.com.
Atacatorul amenință că va vinde datele în cazul în care negocierile eșuează și subliniază consecințele potențiale: pot fi urmări juridice, pierderi financiare și daune ireversibile aduse reputației victimei.
Nu au fost țintite spitalele pur și simplu a fost un virus care s-a lipit pe o aplicație informatică
Atacatorii spun că răscumpărarea va fi mai mică dacă sunt contactați în intervalul de timp specificat și oferă instrucțiuni de comunicare prin intermediul unei anumite platforme de mesagerie și a unei adrese de e-mail.
„În momentul în care se finalizează blocarea datelor, este trimisă o parolă către cel care a generat aplicația malware, iar acea persoană poate cere o recompensă ca să dea parola înapoi”, explică specialistul în securitate cibernetică Mircea Bogdan Gagniuc, ce se întâmplă după virusare.
Atacatorul nu are acces la date, nu le primește, nu le vede, ci doar le blochează. Speranța lui este că datele blocate sunt atât de importante, încât răscumpărarea va fi plătită, adaugă specialistul.
„Nu au fost țintite spitalele pur și simplu a fost un virus care s-a lipit pe o aplicație informatică”, crede Mircea Bogdan Gagniuc.
„Există o cerere de ransom (răscumpărare) de 3,5 bitcoins (aproximativ 157.000 de euro). În mesajul atacatorilor nu se specifică numele grupării care revendică acest atac, ci doar o adresă de e-mail”, a comunicat Directoratul Național de Securitate Cibernetică.
Autoritățile statului le-au cerut celor afectați să nu ia legătura cu atacatorii și să nu plătească răscumpărarea.
Fișierele au fost doar criptate, nu s-au extras date
Administratorul firmei care gestionează Hipocrate, Silviu Alexandru Cârstea, dă asigurări că nu au fost sustrase datele criptate.
„Am verificat log-urile echipamentelor de rețea și nu au existat transferuri de volume de date”, afirmă el.
Directoratul Național de Securitate Cibernetică (DNSC) confirmă că nu au fost furate date în urma acestui atac.
Și, chiar dacă reușeau să le sustragă, datele erau inutilizabile, adaugă Silviu Alexandru Cârstea.
SURSA: bit.ly/3SN1EWg
Fotografie: https://www.freepik.com/