DNSC: Cerere de răscumpărare după atacul cibernetic împotriva spitalelor
Numărul unităților sanitare afectate a urcat la 26.
Publicat: 13 Februarie 2024, 13:17 • Actualizat: 13 Februarie 2024, 22:18
Directoratul Naţional de Securitate Cibernetică anunţă că, după atacul cibernetic care a afectat activitatea mai multor spitale din România, există o cerere de răscumpărare de 3,5 BTC, echivalentul a aproximativ 157.000 de euro.
Mesajul atacatorilor nu se specifică un nume de grupare care revendică acest atac, ci doar o adresă de e-mail.
DNSC recomandă să nu fie luată legătura cu atacatorii şi să nu fie plătită răscumpărarea.
De asemenea, anunţă în că în cazul altor 5 unităţi sanitare a fost confirmat atacul, astfel că numărul total al spitalelor din București şi din ţară afectate a ajuns la 26.
DIICOT anunţă că face cercetări in rem în cazul atacului cibernetic.
Investigaţiile vizează accesul ilegal la un sistem, perturbarea funcţionării sistemelor informatice şi operaţiuni ilegale cu programe sau dispozitive informatice.
Cercetările au fost declanşate în urma sesizării a două societăţi comerciale care prestează servicii de mentenanţă a sistemului informatic integrat al spitalelor publice.
"România este ţinta a peste 25.000 de atacuri cibernetice în fiecare zi, în medie, în anul 2024. Acestea s-au intensificat începând cu anul 2022 şi au crescut în intensitate şi în complexitate de an la an. Este evident că de această dată unul din cele 25.000 de atacuri cibernetice a avut succes. În momentul de faţă, avem instituţiile statului care se ocupă ca să limiteze acest efect direct, fac backup la datele care au fost criptate de către hackeri. Atât NSC, cât şi SRI sunt la faţa locului şi caută soluţii în cel mai scurt timp (...) Încă nu este terminat raportul tehnic ca să putem să ne pronunţăm, dar pot să existe multiple variante de interes atunci vorbim infrastructura extrem de importantă a statului român, în speţă de cea medicală. În momentul de faţă, datele care au fost criptate. Cele 26 de spitale care folosesc sistemul Hypocrate au backup, adică sunt copiate în serverele fizice ale spitalelor, a fost afectată doar platforma online care gestionează aceste date. Ele nu sunt în pericol, trebuie doar ca ele să fie decriptate şi automat să poată să fie accesate de către medici, de către administratorii sistemelor de spitale", a precizat Bogdan-Gruia Ivan, marți, în rubrica "Apel matinal" de la Radio România Actualități.
Tot la RRA, ministrul Sănătăţii a precizat că unele dintre unităţile sanitare afectate au reuşit să îşi remedieze problemele, iar instituţiile abilitate vor elabora un nou standard tehnic menit să preîntâmpine astfel de acţiuni care destabilizează sistemul medical.
"Să sperăm că într-un timp relativ scurt activitatea va fi reluată, din punctul acesta de vedere, că până la urmă, spitalele au derulat activităţi de acordare a asistenţei medicale în mod similar, poate mai lente, pentru că nu au avut acces la această platformă informatică. Dar asta nu înseamnă că nu s-au făcut servicii, iar aceste servicii vor fi raportate ulterior, încât ele să poată să fie decontate", a subliniat Alexandru Rafila.
| Citește și: Colegiul Medicilor București caută soluții împotriva atacurilor cibernetice
Producătorul de soluţii de securitate informatică Bitdefender va oferi acces gratuit la soluţii de securitate informatică destinate mediului de business tuturor instituţiilor sanitare publice din România, ca parte a unui demers de a le consolida rezilienţa în faţa recentelor atacuri informatice devastatoare, se precizează într-un comunicat de presă al companiei.
Majoritatea spitalelor afectate au copii de siguranţă a datelor de pe serverele afectate, cu date salvate relativ recent (1-2-3 zile în urmă) cu excepţia unuia, ale cărui date au fost salvate cu 12 zile în urmă.
Măsura permite restaurarea mai facilă a serviciilor şi a datelor.
| Citește și: Infractorii cibernetici, tot mai inventivi
Un virus din familia ransomware Phobos a criptat datele din serverele țintite.
După atac, DNSC a emis o serie de recomandări pentru gestionarea corectă a situaţiei:
- Identificare sistemelor afectate şi izolarea lor imediată de restul reţelei, cât şi de la internet
- Păstrarea unei copii a mesajului de răscumpărare şi orice alte comunicări de la atacatori. Aceste informaţii sunt utile pentru autorităţi sau pentru analiza ulterioară a atacului
- Să nu oprească echipamentul afectat. Oprirea acestuia va elimina dovezile păstrate în memoria volatilă (RAM)
- Să colecteze şi să păstreze toate informaţiile de tip jurnal relevante, de pe echipamentele afectate, dar şi de la echipamente de reţea, firewall
- Să examineze jurnalele de sistem pentru a identifica mecanismul prin care a fost compromisă infrastructura IT
- Să informeze imediat toţi angajaţii şi să notifice clienţii şi partenerii de afaceri afectaţi cu privire la incident şi amploarea acestuia
- Să restaureze sistemele afectate pe baza copiilor de rezervă a datelor, după ce s-a efectuat o curăţare completă a sistemelor. Este absolut necesar să se asigure că backup-urile sunt neafectate, actualizate şi sigure împotriva atacurilor
- Să se asigure că toate programele, aplicaţiile şi sistemele de operare sunt actualizate la ultimele versiuni şi că toate vulnerabilităţile cunoscute sunt corectate