A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

UPDATE: Un atac cibernetic de tip ransomware a afectat spitale din România

2024/02/15
Popularitate 1357

Foto: Unsplash

UPDATE 16.02.2024, ora 16.00

DNSC recomandă tuturor entităților din domeniul sănătății, indiferent dacă au fost sau nu afectate de atacul ransomware Backmydata, să scaneze infrastructura proprie IT&C prin utilizarea scriptului de scanare YARA.

  1. Un set complex de reguli YARA au fost publicate de către DNSC la adresa:

https://www.dnsc.ro/vezi/document/yara-scan-dnsc-v101

  1. Instrucțiuni de rulare a scriptului și regulilor YARA

a. Descărcați și salvați local arhiva "YARA-Scan_DNSC-v101.zip" din linkul de mai sus

b. Extrageți arhiva în directorul dorit

c. Rulați scriptul "scanare-drive-C-backmydata.bat" cu drepturi de administrator pentru a începe scanarea (NOTĂ: Faceți clic dreapta pe script și selectați "Run as administrator"

d. Opțional, dacă este necesar și aplicabil, rulați și scriptul "scanare-drive-D-backmydata.bat

e. Verificați mesajele generate în terminal și fișierul .txt din directorul "Logs"

f. În cazul în care sunt detectate fișiere malware, vă rugăm să trimiteți fișierul .txt la [email protected]

UPDATE 16.02.2024, ora 09.00

Echipa DNSC a actualizat lista indicatorilor de compromitere. Documentul consolidat cu toate IOC-urile validate până acum este desponibilă pentru descărcate aici: https://www.dnsc.ro/vezi/document/incident-backmydata-ransomware-indicatori-de-compromitere-iocs-1502

*După ce accesați link-ul și descărcați documentul, redenumiți fișierul cu extensia .txt

Reamintim că este vitală folosirea indicatorilor de mai sus pentru scanarea infrastructurii IT&C de către toate entitățile din domeniul sănătății, indiferent dacă au fost sau nu afectate de atacul ransomware Backmydata.

UPDATE 15.02.2024, ora 11.00

Echipa DNSC a emis o alertă pe canalele oficiale de comunicare, în care oferă detalii și recomandări în cazul atacului cu ransomware Backmydata care a afectat activitatea a 26 de spitale din România: https://www.dnsc.ro/citeste/alert-backmydata-ransomware-spitale-romania

UPDATE 14.02.2024, ora 20.00

Echipa DNSC a publicat o serie de indicatori de compromitere (IOC) validați cu spitalele la data de 14.02.2024.

Directoratul recomandă cu fermitate ca nimeni să nu plătească răscumpărarea către atacatori și folosirea indicatorilor de compromitere pentru scanarea infrastructurii IT&C de către toate entitățile din domeniul sănătății, indiferent dacă au fost sau nu afectate de atacul ransomware Backmydata.

UPDATE 14.02.2024, ora 14.45

A – Spitalul de Boli Cronice Smeeni

Astăzi am fost notificați de faptul că serverul pe care rula aplicația HIPOCRATE pentru Spitalul de Boli Cronice Smeeni a fost criptat cu aceeași variantă de ransomware. Infectarea s-a produs în aceeași perioadă (12.02.2024) în care au fost afectate servere similare din alte entități din sectorul de sănătate. Coincidența face ca spitalul a suferit o pană de curent care a împiedicat constatarea faptului că acel server era afectat. În acest caz se iau măsuri de remediere a problemei și de restaurare a datelor din backup.

B – Obligații legale de raportare conform Legii 362/2018

Directoratul reamintește faptul că, în conformitate cu Legea 362/2018, Operatorii de servicii esențiale au obligația de a implementa măsuri adecvate pentru a preveni și minimiza impactul incidentelor care afectează securitatea rețelelor și a sistemelor informatice utilizate pentru furnizarea acestor servicii esențiale, cu scopul de a asigura continuitatea serviciilor respective și de a notifica de îndată DNSC, în calitate de CSIRT național, incidentele care au un impact semnificativ asupra continuității serviciilor esențiale.

Notificarea de îndată a afectării serviciilor esențiale se face şi în situația în care afectarea se datorează unor incidente care AFECTEAZĂ UN FURNIZOR DE SERVICII DIGITALE DE CARE DEPINDE FURNIZAREA SERVICIILOR ESENȚIALE.

Ne aflăm exact în scenariul incidentului cu ransomware Backmydata/Phobos care a afectat zeci de spitale din România. Furnizorul de servicii care gestionează aplicația HIPOCRATE a notificat DNSC după ce a sesizat incidentul, înaintea oricărei notificări formale din partea spitalelor.  

Conform Legii 362/2018, Articolul 27, după primirea notificării, DNSC, în calitate de CSIRT național

a) evaluează preliminar impactul incidentului la nivel național și alertează, sesizează ori notifică sau, după caz, poate solicita operatorului sau furnizorului să alerteze alte entități afectate precum și autoritățile cu responsabilități în prevenirea, limitarea și combaterea efectelor incidentului, precum și autoritățile prevăzute la art. 16, potrivit legii;

b) poate solicita informații suplimentare operatorului sau furnizorului care a făcut notificarea în vederea îndeplinirii obligațiilor ce îi revin, menționând termenul de furnizare a acestora;

c) oferă operatorului sau furnizorului care a făcut notificarea, atunci când circumstanțele o permit, informații care ar putea sprijini administrarea incidentului;

d) în calitate de punct unic de contact, informează celelalte state membre sau partenere afectate dacă incidentul are un impact semnificativ asupra continuității serviciilor esențiale ori a serviciilor digitale în statele respective;

e) în urma analizei incidentelor, poate, după caz, declanșa acțiune de control pentru verificarea respectării cerințelor prezentei legi;

f) poate lua măsurile prevăzute la art. 41;

g) coordonează la nivel național răspunsul la incident în colaborare cu celelalte autorități și entități publice sau private, conform domeniului de activitate și responsabilitate.

Toate aceste activități au fost efectuate de către DNSC conform competențelor legale.

C – Corecție privind impactul incidentului cibernetic cu ransomware Backmydata/Phobos

Clinica Sante Călărași a fost inclusă în mod eronat pe 13 februarie în lista entităților afectate de atacul cu ransomware. A fost actualizată această informație în comunicările anterioare ale Directoratului. În acest caz entitatea afectată este de fapt Santa Clinic Mitreni (Călărași). Ne cerem scuze pentru această inacuratețe. 

UPDATE 13 februarie, ora 11:00

La încă patru spitale se confirmă incidentul de securitate cibernetică, dar nu există până acum niciun indiciu referitor la exfiltrarea datelor:

- Institutul de Fonoaudiologie și Chirurgie Funcțională ORL „Prof. Dr. D. Hociotă”, București

- Sanatoriul de Pneumoftiziologie Brad, Hunedoara

- Spitalul de Pneumoftiziologie Roșiorii de Vede

- Centrul Medical Santa Clinic Mitreni

Există o cerere de ransom (răscumpărare) de 3,5 BTC (aproximativ 157.000 EURO). În mesajul atacatorilor nu se specifică un nume de grupare care revendică acest atac, ci doar o adresă de e-mail. Atât Directoratul, cât și alte autorități cu atribuții în domeniul securității cibernetice implicate în analiza acestui incident RECOMANDĂ să NU se ia legătura cu atacatorii și să nu se plătească răscumpărarea cerută!

Spitalele care folosesc platforma HIPOCRATE, indiferent dacă au fost afectate sau nu, au primit încă de ieri din partea DNSC o serie de recomandări pentru gestionarea corectă a situației:

- Identificare sistemelor afectate și izolarea lor imediată de restul rețelei, cât și de la internet

- Păstrarea unei copii a mesajului de răscumpărare și orice alte comunicări de la atacatori. Aceste informații sunt utile pentru autorități sau pentru analiza ulterioară a atacului

- Să nu oprească echipamentul afectat. Oprirea acestuia va elimina dovezile păstrate în memoria volatilă (RAM)

- Să colecteze și să păstreze toate informațiile de tip jurnal relevante, de pe echipamentele afectate, dar și de la echipamente de rețea, firewall

- Să examineze jurnalele de sistem pentru a identifica mecanismul prin care a fost compromisă infrastructura IT

- Să informeze imediat toți angajații și să notifice clienții și partenerii de afaceri afectați cu privire la incident și amploarea acestuia

- Să restaureze sistemele afectate pe baza copiilor de rezervă a datelor, după ce s-a efectuat o curățare completă a sistemelor. Este absolut necesar să se asigure că backup-urile sunt neafectate, actualizate și sigure împotriva atacurilor

- Să se asigure că toate programele, aplicațiile și sistemele de operare sunt actualizate la ultimele versiuni și că toate vulnerabilitățile cunoscute sunt corectate

UPDATE 12 februarie 2024, ora 18.15

În urma datelor colectate de echipa de investigații a Directoratului, revenim cu următoarea actualizare:

DNSC desfășoară o investigație asupra unui atac cibernetic executat cu aplicația ransomware Backmydata, un virus din familia ransomware Phobos, care a criptat datele din serverele mai multor spitale din România care folosesc platforma informatică HIPOCRATE.

În acest moment putem confirma faptul că 21 de spitale au fost afectate în urma atacului. Spitalul de Pediatrie Pitești a fost afectat începând cu data de sâmbătă 10 februarie 2024. Celelalte spitale au fost afectate începând cu 11-12 februarie 2024:

  1. Spitalul Județean de Urgență Buzău
  2. Spitalul Județean de Urgență Slobozia
  3. Spitalul Clinic Județean de Urgență "Sf. Apostol Andrei" Constanța
  4. Spitalul Județean de Urgență Pitești
  5. Spitalul Militar de Urgență "Dr. Alexandru Gafencu" Constanța
  6. Institutul de Boli Cardiovasculare Timișoara
  7. Spitalul Județean de Urgență "Dr. Constantin Opriș" Baia Mare
  8. Spitalul Municipal Sighetu Marmației
  9. Spitalul Județean de Urgență Târgoviște
  10. Spitalul Clinic Colțea
  11. Spitalul Municipal Medgidia
  12. Institutul Clinic Fundeni
  13. Institutul Oncologic "Prof. Dr. Al. Trestioreanu" București (IOB)
  14. Institutul Regional de Oncologie Iași (IRO Iași)
  15. Spitalul de Ortopedie și Traumatologie Azuga
  16. Spitalul orășenesc Băicoi
  17. Spitalul Clinic de Urgență Chirurgie Plastică, Reparatorie și Arsuri București
  18. Spitalul de Boli Cronice Sf. Luca
  19. Spitalul Clinic C.F. nr. 2 București
  20. Centrul medical MALP SRL Moinești

Conform datelor DNSC, celelalte 79 de unități din sistemul de sănătate au fost deconectate de la internet și asupra lor se desfășoară investigații suplimentare pentru a se stabili daca au fost (sau nu) ținta atacului.

Majoritatea spitalelor afectate au copii de siguranță a datelor de pe serverele afectate, cu date salvate relativ recent (1-2-3 zile în urmă) cu excepția unuia, ale cărui date au fost salvate cu 12 zile în urmă. Aceasta ar putea permite restaurarea mai facilă a serviciilor și a datelor.

Comunicat inițial, ora 10.30 AM

Directoratul Național de Securitate Cibernetică (DNSC) a fost notificat în cursul zilei de astăzi cu privire la un atac cibernetic de tip ransomware asupra unui furnizor de servicii pentru mai multe spitale din România. În prezent, o echipă de specialiști ai DNSC s-a deplasat la fața locului, pentru investigarea incidentului cibernetic. Mai multe spitale sunt afectate de atac.

Vom reveni cu detalii pe măsură ce obținem mai multe informații referitor la entitățile afectate. Recomandăm ca echipele IT ale spitalelor să nu fie contactate, pentru se putea concentra pe restaurarea serviciilor informatice și a datelor! Aceasta este prioritatea la acest moment.

 

Contact pentru presă: Mihai Rotariu  |  [email protected]  |  0740 066 866


Vizualizat de 13507 ori