Irlandia ostrzega przed potencjalnymi wyciekami danych pacjentów po ataku oprogramowania ransomware

W zeszłym tygodniu dyrektor ds. Służby zdrowia w Irlandii został zaatakowany przez nieznanego aktora i został zmuszony do wyłączenia wszystkich swoich systemów, aby powstrzymać rozprzestrzenianie się oprogramowania ransomware wykorzystanego w ataku. Teraz HSE ostrzega, że istnieje wysokie ryzyko „nadużywania” i wycieku poufnych danych pacjentów przez osoby atakujące.

Atak na infrastrukturę irlandzkiego systemu opieki zdrowotnej nastąpił tuż po dwóch innych poważnych atakach oprogramowania ransomware, które miały miejsce w ciągu zaledwie kilku dni. Jednak podczas gdy pozostałe dwa duże ataki, wymierzone w Colonial Pipeline w USA i spółki zależne Toshiba Corporation w Europie, były zarówno dziełem grupy DarkSide, jak i jej podmiotów stowarzyszonych, napastnik, który wymierzył w irlandzką sieć informatyczną zajmującą się zdrowiem, nie jest jeszcze znany.

Jak dotąd wiadomo, jaki jest szczep oprogramowania ransomware wykorzystanego w incydencie. Źli aktorzy wdrożyli wersję oprogramowania ransomware Conti. Ponadto dochodzenie i próby przywrócenia sieci IT do trybu online ujawniły, że zainfekowane systemy miały również moduł dowodzenia i kontroli Cobalt Strike Beacon.

Pomimo znacznych przeszkód, jakie atak stanowił dla służb zdrowia i opieki społecznej w kraju, rząd Irlandii już jasno stwierdził, że nie będą grać i żaden okup nie zostanie zapłacony. Jest to prawdopodobnie mądry wybór, biorąc pod uwagę, jak poszło zadanie ransomware Colonial Pipeline. Okazało się, że Colonial dokonał płatności w wysokości około 5 milionów dolarów zaledwie kilka godzin po ataku, ale narzędzie, które firma otrzymała od DarkSide, było tak powolne w odszyfrowywaniu danych, że było praktycznie bezużyteczne, a firma przystąpiła do przywracania normalnych operacji przy użyciu własnych kopii zapasowych. , skutecznie nic nie zyskując na wymianie.

Ryzyko podwójnych ataków, które zarówno mieszają sieć, jak i eksfiltrują informacje, stają się coraz bardziej powszechne wśród operatorów oprogramowania ransomware. Skradzione poufne informacje są wykorzystywane jako dodatkowa dźwignia, aby zagrozić ofierze ransomware i szantażować ją w celu zapłacenia nie tylko za przywrócenie jej sieci, ale także za powstrzymanie wycieku danych do sieci.

Ten rodzaj zagrożenia jest szczególnie nieprzyjemny, jeśli chodzi o ataki, takie jak atak wymierzony w irlandzką służbę zdrowia. Informacje o pacjencie są bardzo wrażliwymi zasobami danych i mogą zawierać wiele bardzo osobistych i wrażliwych danych, które mogą naprawdę spowodować poważne problemy, jeśli wszystkie wyciekną online.

Irlandzkie HSE postępuje stosunkowo wolno, przywracając swoje systemy. Według raportu ZDNet tylko 2000 z łącznej liczby 80 000 urządzeń zostało przywróconych do pracy i jest online. Minister zdrowia tego kraju zapewnił ludność, że „setki ludzi” pracują przez całą dobę, aby wszystko przywrócić do porządku, ale nawet według jego słów mogą minąć „tygodnie”, zanim każdy pojedynczy podsystem znów zacznie działać.