Zsarolóvírus-támadások hulláma támadja az amerikai kórházakat

WASHINGTON/SAN FRANCISCO (Reuters) – Kelet-európai bűnözők több tucat amerikai kórházat céloznak zsarolóvírussal, és szerdán a szövetségi tisztviselők arra kérték az egészségügyi intézményeket, hogy gyorsítsák fel a felkészüléseket, ha a következő esetben ők lesznek.
Az FBI vizsgálja a legutóbbi támadásokat, amelyek között Oregonban, Kaliforniában és New Yorkban történt események is szerepelnek, amelyek csak ezen a héten jelentek meg a nyilvánosságra – három kiberbiztonsági tanácsadó – az ügyet ismerő szakember mondta.
Egy kórház orvosa a Reutersnek elmondta, hogy a létesítmény papíron működött egy támadás után, és nem tudta áthelyezni a betegeket, mert a legközelebbi alternatíva egy órányira volt. Az orvos nem akarta megnevezni, mert a személyzet nem volt jogosult beszélni az újságírókkal.
"Még mindig figyelhetjük az életjeleket és a képalkotásokat, de minden eredményt csak papíron keresztül közölünk" – mondta az orvos. A személyzet láthatta a történelmi adatokat, de nem frissíthette azokat.
A szakértők szerint a támadások mögött álló valószínű csoport a Wizard Spider vagy UNC 1878 néven ismert. Figyelmeztettek, hogy az ilyen támadások megzavarhatják a kórház működését és halálos áldozatokhoz vezethetnek.
A támadások miatt szerdán telekonferenciahívást indítottak el az FBI és a Belbiztonsági tisztviselők szervezetében kórházi adminisztrátorok és kiberbiztonsági szakértők számára.
Egy résztvevő a Reutersnek elmondta, hogy a kormánytisztviselők figyelmeztették a kórházakat, hogy biztosítsák a biztonsági mentési rendszereiket, ahol lehetséges, kapcsolják el a rendszereket az internetről, és kerüljék a személyes e-mail fiókok használatát.
Az FBI nem válaszolt azonnal a kommentárkérésre.
"Úgy tűnik, ez egy koordinált támadás volt, amelynek célja az ország egész területén a kórházak megzavarása" – mondta Allan Liska, az amerikai kiberbiztonsági cég, a Recorded Future fenyegetettségi információs elemzője.
"Bár hetente több zsarolóvírus-támadás az egészségügyi szolgáltatók ellen gyakori, ez az első alkalom, hogy hat kórházat ugyanazon nap alatt ugyanaz a zsarolóvírus szereplő célozott."
Korábban a kórházakban a zsarolóvírus-fertőzések leállították a betegnyilvántartási adatbázisokat, amelyek kritikusan tárolják a naprakész orvosi információkat, ami befolyásolta a kórházak egészségügyi ellátási képességét.
A zsarolóvírus-támadások az elmúlt három hónapban 50 százalékkal nőttek – közölte a Check Point biztonsági cég szerdán, és a megkérdezett egészségügyi szervezetek érintettsége a harmadik negyedévben 4 százalékra emelkedett az előző negyedéves 2,3 százalékról.
A támadásokkal jártas három tanácsadó közül kettő elmondta, hogy a kiberbűnözők gyakran használtak egy úgynevezett "Ryuk" zsarolóvírust, amely bezárja az áldozat számítógépét, amíg a fizetés nem érkezik.
A telekonferenciahívás résztvevője elmondta, hogy a kormánytisztviselők nyilvánosságra hozták, hogy a támadók Ryukot és egy másik trójai, Trickbot nevű hajót használtak a kórházak ellen.
"UNC1878 az egyik legmerészebb, legszívtelenebb és legzavaróbb fenyegető szereplő, akit pályafutásom során láttam" – mondta Charles Carmakal, az amerikai kiberincidens-reagáló cég, a Mandiant vezető alelnöke.
"Több kórházat már jelentősen érintette a Ryuk zsarolóvírus, és hálózataikat lekapcsolták."
Szakértők szerint a Trickbot bevezetése jelentős, miután a Microsoft a hónap elején törekvette a hackelő hálózat megzavarására.
Ez a kezdeményezés célja a kiberbűnözők meggyengítése, de úgy tűnik, gyorsan felépültek – mondta Stefan Tanase, kiberbűnözési elemző.
"Amit itt látunk, az megerősíti, hogy a Trickbot leállításáról szóló jelentések erősen túlzóak voltak," mondta.


