Numărul spitalelor afectate de atacul cibernetic executat cu aplicaţia ransomware Backmydata este în creștere. Directoratul Naţional de Securitate Cibernetică (DNSC) a transmis că alte cinci unități medicale, care folosesc platforma informatică Hipocrate, au avut de suferit.
Între timp s-a primit și un mesaj de răscumpărare pentru datele criptate, infractorii solicitând o plată în valoare de 3,5 bitcoin (BTC) – aproximativ 157.000 de euro. Nu există însă certitudinea că mesajul acesta de răscumpărare vine chiar de la cei care au organizat atacul, în contextul în care autoritățile din țara noastră nu au reușit să stabilească de unde a plecat, de fapt, valul de probleme informatice.
CITEȘTE ȘI: Atac cibernetic „masiv” de tip ransomware în sistemul medical din România. Activitatea din 18 spitale este afectată
„Există o cerere de ransom (răscumpărare) de 3,5 BTC (aproximativ 157.000 euro). În mesajul atacatorilor nu se specifică un nume de grupare care revendică acest atac, ci doar o adresă de e-mail. Atât Directoratul, cât şi alte autorităţi cu atribuţii în domeniul securităţii cibernetice implicate în analiza acestui incident recomandă să nu se ia legătura cu atacatorii şi să nu se plătească răscumpărarea cerută!”, au avertizat experții DNSC.
Între timp, la încă cinci spitale se confirmă incidentul de securitate cibernetică, dar nu există până acum niciun indiciu referitor la exfiltrarea datelor.
Cele cinci spitale sunt:
- Institutul de Fonoaudiologie şi Chirurgie Funcţională ORL „Prof. Dr. D. Hociotă” Bucureşti,
- Sanatoriul de Pneumoftiziologie Brad Hunedoara,
- Spitalul de Pneumoftiziologie Roşiorii de Vede,
- Spitalul Orăşenesc Băicoi
- Clinica Sante Călăraşi (clinică privată).
CITEȘTE ȘI: Ce se întâmplă cu datele criptate în urma atacului cibernetic asupra spitalelor din România?
Recomandările DNSC pentru spitalele care folosesc platforma Hipocrate
Spitalele care folosesc platforma Hipocrate, indiferent dacă au fost afectate sau nu, au primit încă de luni din partea DNSC o serie de recomandări pentru gestionarea corectă a situaţiei, şi anume:
- identificarea sistemelor afectate şi izolarea lor imediată de restul reţelei, cât şi de la internet;
- păstrarea unei copii a mesajului de răscumpărare şi orice alte comunicări de la atacatori (aceste informaţii sunt utile pentru autorităţi sau pentru analiza ulterioară a atacului);
- să nu oprească echipamentul afectat, întrucât oprirea acestuia va elimina dovezile păstrate în memoria volatilă (RAM);
- să colecteze şi să păstreze toate informaţiile de tip jurnal relevante, de pe echipamentele afectate, dar şi de la echipamente de reţea, firewall;
- să examineze jurnalele de sistem pentru a identifica mecanismul prin care a fost compromisă infrastructura IT;
- să informeze imediat toţi angajaţii şi să notifice clienţii şi partenerii de afaceri afectaţi cu privire la incident şi amploarea acestuia;
- să restaureze sistemele afectate pe baza copiilor de rezervă a datelor, după ce s-a efectuat o curăţare completă a sistemelor (este absolut necesar să se asigure că backup-urile sunt neafectate, actualizate şi sigure împotriva atacurilor);
- să se asigure că toate programele, aplicaţiile şi sistemele de operare sunt actualizate la ultimele versiuni şi că toate vulnerabilităţile cunoscute sunt corectate.
DIICOT a deschis un dosar penal
Între timp, DIICOT a anunțat că a deschis un dosar penal în această cauză. „La data de 12.02.2024, două societăţi comerciale, care prestează servicii de mentenanţă a sistemului informatic integrat al spitalelor publice din România, au sesizat Direcţia de Investigare a Infracţiunilor de Criminalitate Organizată şi Terorism cu faptul că, în zilele de 11 şi 12 februarie 2024, persoane neidentificate au atacat sistemul informatic integrat şi infrastructura hardware cu un virus de tip ransomware, ce a avut drept consecinţă blocarea funcţionării acestui sistem şi a comunicaţiilor de orice fel, precum şi restricţionarea accesului la bazele de date informatice”, menționează instituția într-un comunicat de presă.În acest dosar sunt efectuate cercetări, in rem, pentru săvârşirea infracţiunilor de acces ilegal la un sistem, perturbarea funcţionării sistemelor informatice şi operaţiuni ilegale cu programe sau dispozitive informatice.
