Dramaticky roste počet ransomwarových útoků na segment zdravotnictví
Zpět na blogZ dat kyberbezpečnostní společnosti Check Point Software Technologies vyplývá, že v uplynulém roce čelila jedna zdravotnická organizace v průměru 1 462 kybernetickým útokům týdně, což je o 74 % více než v roce 2021 a jde o nejvyšší nárůst ze všech sledovaných odvětví. Jak atraktivním terčem je zdravotnictví, vypovídá i fakt, že se jedná o 3. nejčastěji napadaný sektor.
Množství potenciálně zranitelných míst přibývá i s nárůstem IoT, respektive IoMT (Internet of Medical Things) zařízení. Check Point už dříve ukázal, že by bylo možné napadnout a zablokovat například ultrazvuk nebo že by organizaci šlo napadnout pomocí chytrých žárovek.
Některé hrozby mohou v napadených systémech číhat týdny i měsíce, nepozorovaně krást data a čekat na správnou chvíli k útoku. O řadě napadení se tak dozvíme až dlouho poté, co útok ve skutečnosti začal. Že vám na displeji nesvítí žádost o výkupné a nemáte zablokované počítače, ještě neznamená, že už dávno nečelíte útoku. I proto se zvyšuje naléhavost tohoto varování.
Jak bezohledně a systematicky kyberzločin postupuje, ukázala i koronavirová pandemie, kdy útočníci využili chaotické situace a opakovaně napadali nemocniční sítě v době, kdy byla zdravotnická zařízení nejméně schopná reagovat.
„Kybernetické útoky na nemocnice, elektrické sítě, plynovody, čističky vody, dopravní systémy a další zařízení kritické infrastruktury mohou přímo ohrozit lidské životy a podle toho by k nim mělo být přistupováno,“ řekl Miloslav Lujka, Country Manager Czech Republic, Slovakia & Hungary z kyberbezpečnostní společnosti Check Point Software Technologies. „Je potřeba si také uvědomit, že útokům nemusí čelit jen nemocnice, aby došlo k panice a ochromení zdravotnického sektoru a celé společnosti. Hrozba se totiž vznáší nad celým dodavatelským řetězcem. Pokud kyberzločinci zasáhnou například výrobce léčiv, navíc v situaci, kdy už tak máme nedostatek léků a zejména antibiotik, spustí to lavinu tragédií. Zdravotnický systém je zranitelný více než kdykoli dříve.“
Ransomware útočí
FBI v listopadu varovala před ransomwarem Hive, který aktivně napadá zdravotnické systémy. Hive byl poprvé objeven v červnu 2021 a při útocích šifruje soubory a narušuje zálohovací procesy. Pokud nedojde k zaplacení výkupného, útočníci navíc vyhrožují zveřejněním ukradených informací na webu HiveLeaks. Některým obětem útočníci také telefonovali, aby hrozbu ještě stupňovali. Jedná se bohužel o stále častější taktiku, kdy kromě zašifrování dat jsou ukradeny citlivé informace, které mohou být zveřejněné nebo použité k dalším útokům.
Americké ministerstvo zdravotnictví a sociálních služeb varovalo také před útoky ransomwaru Royal, který v listopadu vyřadil z provozu nejpopulárnější anglický závodní okruh Silverstone, a je přímou hrozbu pro zdravotnické organizace.
Na zdravotnictví se zaměřuje i hackerská skupina Daixin Team, která k útokům používá ransomware vytvořený pomocí zdrojového kódu ransomwaru Babuk Locker. Daixin Team šifruje zdravotní záznamy, diagnostická data a přístup k intranetovým službám a krade osobní údaje a zdravotní informace pacientů. Při žádosti o výkupné hrozí zveřejněním těchto dat.
SickKids, jedna z největších kanadských dětských nemocnic, uvedla, že po ransomwarovém útoky ji plné obnovení počítačových systémů zabere několik týdnů, což bude mít dopad na léčbu některých pacientů.
Na konci října zastavil ransomwarový útok provoz nemocnice v Ósace, která musela pozastavit běžné lékařské služby, jelikož byl vyřazen z provozu systém pro práci s elektronickými lékařskými záznamy. Podobně koncem listopadu byly napadené počítačové sítě tří nemocnic v newyorském Brooklynu, které musely po kybernetickém útoku přejít na práci s papírovými zdravotnickými kartami pacientů.
Americký zdravotnický gigant CommonSpirit Health, který spravuje 700 pracovišť a 142 nemocnic ve 21 státech, informoval na začátku prosince, že v září a říjnu došlo k úniku dat o více než 620 000 pacientech, včetně elektronických lékařských záznamů. Listopadový útok na jiné tři nemocnice v New Yorku zase přinutil lékaře přejít na papírové karty, což výrazně zpomalilo poskytovanou péči.
Řadu vyděračských útoků na nemocnice má na svědomí i nechvalně známá ruská kyberzločinecká skupina Conti.
Ransomwarové útoky se bohužel nevyhýbají ani českým nemocnicím, jak se ostatně ukázalo například při útocích na nemocnice v Benešově nebo Brně.
Neplatit výkupné?
A o mnoha dalších útocích zatím ani nevíme. Nejedná se tedy o nějaké útoky, ale o organizovanou snahu řady profesionálních gangů útočit přímo na zdravotnictví, čemuž odpovídá i vývoj nových hrozeb. Zaplacení výkupného může navíc kyberzločince povzbudit k dalším útokům. Zaplacení výkupného také nezaručuje, že soubory budou obnoveny a návrat k normálu může trvat týdny i měsíce.
Na kritickou situaci se snaží reagovat i některé vlády. Například australská vláda zvažuje novou legislativu, která by znemožnila placení výkupného, což by mohlo změnit kybernetickou strategii řady organizací.
Co tedy mohou zdravotnické organizace udělat, aby byly chráněné před kybernetickými hrozbami? Důležité je si uvědomit, že ransomwarový útok obvykle začíná jinou hrozbou a zašifrování souborů a žádost o výkupné je až jednou z pozdních fází celého útoku. Je proto zásadní chránit se před všemi druhy hrozeb a vědět, jak reagovat.
Bezpečnostní tipy pro zdravotnické organizace:
- Pozor na trojské koně – K infekci trojanem dochází dny nebo týdny před ransomwarovým útokem, proto by bezpečnostní týmy měly hledat v sítích infekce Trickbotem, Emotetem, Dridexem nebo Cobalt Strikem a odstranit je dřív, než mohou přichystat půdu pro ransomware.
- Zbystřete o víkendech a svátcích – Většina ransomwarových útoků probíhá o víkendech a svátcích. Hackeři se snaží zaměřovat na dobu, kdy bude pravděpodobnější, že IT a bezpečnostní týmy nebudou v plné pohotovosti a reakce na hrozbu bude pomalejší.
- Používejte anti-ransomware – Ochrana proti ransomwaru hlídá, jestli nedochází k nějakým neobvyklým aktivitám, jako je otevírání a šifrování velkého počtu souborů. Pokud anti-ransomware zachytí jakékoli podezřelé chování, může okamžitě reagovat a zabránit masivním škodám.
- Zálohování a archivace dat je základ – Pokud se něco pokazí, vaše data by mělo být možné snadno a rychle obnovit. Je proto nutné důsledně zálohovat, včetně automatického zálohování i na zařízeních zaměstnanců a nespoléhat se, že si na zapnutí zálohy sami vzpomenou.
- Omezte přístup jen na nutné informace a segmentujte – Segmentace sítě minimalizuje riziko, že se ransomware bude nekontrolovatelně šířit napříč celou organizací. Řešit následky ransomwarového útoku na jednom systému může být složité, ale napravovat škody po útoku na celou síť je podstatně náročnější.
- Vzdělávání je nezbytnou součástí ochrany – Zaměstnanci by měli umět poznat potenciální hrozby. Mnoho kybernetických útoků totiž začíná cíleným phishingem, který sice neobsahuje malware, ale s pomocí sociálního inženýrství se snaží uživatele nalákat ke kliknutí na škodlivý odkaz nebo k poskytnutí citlivých informací. Vzdělávání uživatelů je proto jednou z nejdůležitějších součástí ochrany.
- Pravidelně instalujte aktualizace a záplaty – Aktualizace a záplaty instalujte okamžitě a automaticky. Záplatujte a aktualizujte staré verze softwaru a systémů. V nemocnicích to ale v mnoha případech z různých důvodů nelze. Proto doporučujeme používat systém prevence narušení (IPS – Intrusion Prevention System) s možností virtuálních oprav, aby se zabránilo pokusům o zneužití slabých míst ve zranitelných systémech nebo aplikacích. Aktualizovaný IPS pomáhá organizacím zůstat v bezpečí.
- Vše zabezpečte a spokojte se jen s tím nejlepším – Nic nepodceňte, počítače, servery, mobilní zařízení, ale i chytré žárovky nebo libovolné jiné IoT či IoMT zařízení mohou být pro hackery vstupním bodem a branou do vaší organizace. Používejte proto vždy to nejlepší bezpečnostní řešení a využijte případně služeb externích týmů specializovaných na odhalování hrozeb.
Zdroj: Check Point
9. 1. 2023