Airija perspėja apie galimą paciento duomenų nutekėjimą po „Ransomware Attack“
Praėjusią savaitę Airijos sveikatos tarnybos vykdomoji valdžia buvo nukreipta į nežinomą grėsmių veikėją ir buvo priversta nugriauti visas savo sistemas, bandydama sustabdyti išpuolyje naudojamą išpirkos programą. Dabar HSE įspėja, kad yra didelė rizika, kad užpuolikai „piktnaudžiauja“ ir nutekins slaptus paciento duomenis.
Ataka prieš Airijos sveikatos sistemos infrastruktūrą pakilo ant dviejų kitų didelių išpirkos programų įvykusių kulnų, įvykusių vos per kelias dienas. Tačiau nors kiti du dideli išpuoliai, nukreipti į „Colonial Pipeline“ JAV ir „Toshiba Corporation“ dukterines įmones Europoje, buvo „DarkSide“ grupės ir jos dukterinių įmonių darbas, užpuolikas, nukreiptas į Airijos sveikatos IT tinklą, dar nėra žinomas.
Tai, kas iki šiol yra žinoma, yra išpirkos atliekamų programų padermė. Blogi veikėjai įdiegė „Conti“ išpirkos programos versiją. Be to, atlikus tyrimą ir pastangas atkurti IT tinklą, paaiškėjo, kad pažeistose sistemose taip pat buvo „Cobalt Strike Beacon“ komandų ir valdymo modulis.
Nepaisant didelių kliūčių, kurias ataka kėlė šalies sveikatos ir socialinėms tarnyboms, Airijos vyriausybė jau aiškiai pareiškė, kad jos nebus žaidžiamos kartu ir išpirkos nebus mokamos. Tai tikriausiai yra protingas pasirinkimas, atsižvelgiant į tai, kaip vyko „Colonial Pipeline“ išpirkos reikalaujančios programos darbas. Paaiškėjo, kad „Colonial“ įvykdė maždaug 5 milijonų dolerių mokėjimą praėjus tik kelioms valandoms po išpuolio, tačiau įrankis, kurį bendrovė gavo iš „DarkSide“, buvo taip lėtas iššifruodamas duomenis, jis buvo praktiškai nenaudingas ir bendrovė pradėjo atkurti įprastą veiklą naudodama savo atsargines kopijas , iš mainų praktiškai nieko negaunant.
Dvigubų išpuolių, kurie tiek grumiasi su tinklu, tiek ir informaciją išfiltruoja, rizika vis dažniau pasitaiko išpirkos išpardavusių programų operatoriams. Pavogta neskelbtina informacija naudojama kaip papildomas svertas išpirkos išpirkos aukai grasinti ir šantažuoti mokant ne tik atkurti savo tinklą, bet ir sustabdyti duomenų nutekėjimą internete.
Tokia grėsmė yra ypač bjauri, kai kalbama apie tokias atakas, kaip antai, nukreiptas į Airijos sveikatos tarnybas. Informacija apie pacientą yra labai slaptas duomenų turtas ir joje gali būti daug labai asmeniškų ir neskelbtinų detalių, kurios tikrai gali sukelti didelių problemų, jei visa tai nutekės internete.
Airijos HSE atkuria savo sistemas gana lėtai. Remiantis „ZDNet“ ataskaita, tik 2 000 iš viso 80 000 įrenginių buvo atkurti ir veikti tinkle. Šalies sveikatos ministras ramino gyventojus, kad „šimtai žmonių“ dirba visą parą, kad viskas būtų sutvarkyta, tačiau net pagal jo žodžius gali praeiti „savaitės“, kol vėl atsistatys kiekvienas atskiras posistemis.
