PHOBOS, un atac ransomware lovește un spital din România pe 22 iulie

de | iulie 27, 2021 | Știri de securitate cibernetică

Un atac de tip ransomware a vizat Spitalul Clinic Witting din București. Hackerii au preluat controlul serverelor furnizorului de servicii medicale, au criptat datele și au cerut o răscumpărare în Bitcoin, în schimbul unui instrument de decriptare.

SRI (Serviciul Român de Informații) a anunțat că acest atac ransomware (Phobos) este similar cu alte atacuri periculoase din 2019, care au vizat tot spitale din România.

Consecințele acestui atac ransomware

În urma atacului, spitalul a funcționat offline timp de 35 de ore, iar medicii au trebuit să completeze datele pacienților pe hârtie.

Cu toate acestea, cu ajutorul Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) și al experților SRI, datele au fost recuperate în întregime, fără ca răscumpărarea să fie plătită piraților cibernetici.

Phobos - un atac ransomware lovește un spital din România

Obiectivul atacului ransomware este, aparent, controlul rețelelor și al programelor de tratament. După ce obțin aceste informații, hackerii le pot vinde online. Dosarele pacienților sunt, de asemenea, în pericol, fiind expuse riscurilor de șantaj.

″Nu sunt fişiere pierdute inclusiv ultima foaie pe care am avut-o se regăseşte şi este în regulă, s-au făcut manual, dar nu au fost multe. Vorbim de o zi. Externările, internările s-au făcut manual, am anunţat casa de asigurări de sănătate faptul că nu putem să le validăm electronic″.

Cristian Banu, Witting Hospital Manager

Programul ransomware PHOBOS

Reprezentanții SRI au declarat că au investigat acest atac ransomware în colaborare cu CERT-RO (Centrul Național de Răspuns la Incidente și Securitate Cibernetică din România) și Spitalul Clinic Nr.1 CF Wittig.

SRI da sfaturi cu privire la acest atac ransomware

„Ulterior criptării datelor, atacatorii au solicitat plata unei răscumpărări pentru decriptarea acestora, plată ce nu a fost realizată de instituția afectată. Cu toate acestea, activitatea curentă a spitalului nu a fost întreruptă, continuitatea fiind asigurată prin utilizarea registrelor offline”,

SRI

Cel mai recent atac ransomware este similar celui care a afectat alte patru spitale din România în vara anului 2019.

Potrivit SRI, ransomware-ul folosit a fost PHOBOS, iar atacatorii au exploatat faptul că infrastructurile IT ale spitalului nu erau protejate de o soluție software antivirus.

Atacul ransomware a criptat toate documentele spitalului.

Ransomware-ul PHOBOS este de o complexitate medie, folosind conexiuni prin Remote Desktop Protocol pentru a se răspândi și infecta rețelele.

Phobos, cunoscut și sub numele de Phobos NextGen sau Phobos NotDharma, este un ransomware care rulează pe Microsoft Windows. Este destinat utilizatorilor vorbitori de limbă engleză. Face parte din familia CrySiS / Dharma.

Phobos a fost observat prima dată pe 21 octombrie 2017. La sfârșitul anului 2018, a început să se răspândească din nou în mod activ.

Pe parcursul lunilor decembrie 2018 și februarie 2019, hackerii au lansat numeroase variante noi, care utilizează diferite e-mailuri, printre care:

  • Job2019@tutanota.com
  • Bad_boy700@aol.com
  • Cadillac.407@aol.com
  • Everest_2010@aol.com
  • Raphaeldupon@aol.com
  • paper_plane1@aol.com
  • barcelona_100@aol.com
  • elizabethz7cu1jones@aol.com
  • beltoro905073@aol.com
  • Raphaeldupon@aol.com
  • Gomer_simpson2@aol.com
  • ofizducwell1988@aol.com
  • FobosAmerika@protonmail.ch

Anul 2019 a venit cu și mai multe noutăți despre virusul Phobos, pentru că acest ransomware a început să exploateze nivelul slab de securitate pentru a ataca utilizatorii din întreaga lume. De asemenea, vizează afacerile și companiile mari, deoarece prin ele se asigură un profit mai mare, pe seama unei singure victime.

Recomandări pentru prevenirea atacurilor de tip ransomware

De la începutul pandemiei COVID-19 în 2020, CERT-RO și experții în securitate cibernetică din cadrul grupului Cyber Volunteers 19 – România au desfășurat campanii comune de avertizare și conștientizare în domeniul securității cibernetice adresate furnizorilor de servicii medicale din țară. Scopul principal al acestei inițiative este prevenirea, identificarea și abordarea în mod corespunzător a potențialelor vulnerabilități de natură informatică ale unităților medicale, înainte de a fi prea târziu.

Recomandările furnizate prin acest demers de sprijinire a mediului medical sunt aplicate adesea rapid și în mod corespunzător. Dar, în unele cazuri, din diverse motive, măsurile de securitate necesare nu sunt aplicate la timp.

Pentru a preveni atacurile de tip ransomware, experții ATTACK Simulator, CERT-RO și CYBERINT recomandă implementarea imediată a unor politici și măsuri de securitate, precum:

  • Utilizarea unei soluții antivirus actualizate;
  • Dezactivarea serviciul RDP pe toate stațiile și serverele din rețea;
  • Actualizarea sistemelor de operare și a tuturor aplicațiilor utilizate;
  • Schimbarea frecventă a parolelor tuturor utilizatorilor, respectând recomandările de complexitate;
  • Verificarea periodică a tuturor utilizatorilor înregistrați, pentru a identifica utilizatorii noi, adăugați în mod nelegitim;
  • Realizarea de copii de siguranță a datelor critice pe suporturi de date offline;
  • Păstrarea datelor criptate pentru eventualitatea apariției unei aplicații de decriptare în mediul online.
  • Instruirea continuă a angajaților și luarea de măsuri de conștientizare ale riscurilor acestor atacuri
  • Pregătirea managerilor cu privire la răspunsul rapid și eficient la atacuri cibernetice

Cum amenințările online nu se opresc niciodată din evoluție și există șanse ca ele să vizeze în continuare și compania dvs., de ce să întârziați instruirea și educarea angajaților dvs. cu privire la securitatea cibernetică?

Programul ATTACK Simulator de pregătire și conștientizare în domeniul securității este soluția perfectă pentru afacerea dvs., indiferent de domeniul în care activați. Așadar, nu mai pierdeți niciun minut și obțineți o ofertă aici.

Surse:

by Laura Bandoiu

Nu există niciun motiv pentru a amâna instruirea angajaților.

Solicitați o ofertă bazată pe nevoile organizației dvs. și începeți să construiți o infrastructură puternică de securitate cibernetică chiar astăzi.