Egészségügyi szolgáltatások össztűz alatt

Még nem telt el egészen egy hét az ír egészségügyi szolgáltatót ért támadás óta, de máris több egészségügyi szolgáltatót ért támadás a világ minden sarkában. Az ír Health Service Executive (HSE) szolgáltatót május 14-én érte ransomware támadás, a helyi CERT (NCSC-IE) tájékoztatása szerint a “Conti” ransomware fertőzte meg a rendszereket. Az NCSC-IE által kiadott, majd frissített tájékoztatása alapján az egészségügyi rendszereket lekapcsolták annak érdekében, hogy megakadályozzák a fertőzés továbbterjedését.

Bár a tájékoztató nem részletezi a kezdeti támadási vektort, de a sorok között olvasva bizonyos következtetéseket le lehet vonni, például abból, hogy milyen technikákat használtak a támadók (a mitre ATT&CK besorolás megtalálható a dokumentum végén), illetve abból is, hogy a támadók a CobaltStrike néven ismert eszköz segítségével mozogtak a megtámadott hálózaton belül, illetve azzal töltötték le magát a zsarolóvírust. Sajnálatos módon a Conti is a dupla zsarolás technikáját használja, és bár sajtóértesülések szerint elérhetővé tették a visszafejtő kulcsot, annak érdekében, hogy a rendszerek üzemszerű működése mihamarabb helyreállítható legyen, egyúttal jelezték azt is, hogy jelentős mennyiségű adatot sikerült elmenteniük, aminek a publikálásával továbbra is zsarolják a megtámadott szervezeteket. Más értesülések szerint a támadók már publikáltak is egy kisebb részletet a megszerzett adatokból.

Mintha egy hétre egy támadás nem lenne elég, a világ más részein lévő egészségügyi szolgáltatók is szenvedtek el kisebb-nagyobb támadást:

Szintén sajtóértesülések szerint Új-Zélandban több kórházban már napok óta akadozik a nem sürgősségi ellátás, ugyancsak zsarolóvírus támadások miatt.

Nem elég, hogy Alaszkában három hete megtámadták az állami bíróság rendszereit, most az Egészségügyi osztály weblapját is támadás érte. Az érintett szervezetek nem közöltek bővebb információt a támadás természetével kapcsolatban.

Az egyesült államokbeli Empire Physicians Medical Grouptól szintén a Conti csoport lopott el adatokat, melynek egy részét weboldalukon publikálták.

A DarkWeben keringő források szerint az izraeli Eitan Medical orvosi eszközgyártó is ransomware támadás áldozata lett május 19-én, a megszerzett adatokból mintát a N3tworm ransomware üzemeltetői tették közzé.

És ezek csak azok a hírek, melyek eljutottak a sajtóig, vagy valahogy megnevezésre kerültek az áldozatok. Reméljük, a következő hetek békésebbek lesznek!