Obawy o naruszenie danych LabCorp były bezpodstawne. To był atak ransomware.

Laboratory Corporation of America Holdings lub LabCorp ma 60 tysięcy pracowników na całym świecie, pomaga w badaniach klinicznych w blisko 100 krajach i przetwarza około 2,5 miliona testów laboratoryjnych co tydzień. Oznacza to, że LabCorp obsługuje i przechowuje potencjalnie bardzo wrażliwe dane związane ze zdrowiem milionów ludzi. Jak można sobie wyobrazić, kiedy firma ogłosiła, że wykryła „podejrzaną aktywność” w swojej sieci IT, reakcje nie były całkiem pozytywne. Ludzie naprawdę bali się informacji o swoim zdrowiu. Jak się okazuje, nie mieli się czym martwić.

Wiadomość pojawiła się w poniedziałek, kiedy firma złożyła oświadczenie 8-K w Komisji Papierów Wartościowych i Giełd. Dokument nie mówił wiele poza tym, że w weekend niektóre komputery i serwery LabCorp działały w nietypowy sposób. Chociaż z akt wynika, że zespół IT firmy nie miał pojęcia, z czym się wtedy borykał, wiele systemów zostało zamkniętych, aby zapobiec prawdziwym szkodom.

Wczoraj GUS zgłosił więcej szczegółów na temat ataku. Najwyraźniej o północy 13 lipca hakerzy rozpoczęli próby infiltracji sieci LabCorp poprzez brutalne wymuszanie poświadczeń logowania do protokołu zdalnego pulpitu (RDP). O godzinie 18.00 14 lipca przybyli i porzucili ładunek - odmianę ransomware znanego jako SamSam.

Dobre wieści

Oczywiście cyberatak nigdy nie może być dobrą wiadomością, szczególnie dla docelowej organizacji, ale w tym przypadku jesteśmy prawie pewni, że zarówno pracownicy LabCorp, jak i pacjenci odetchnęli z ulgą, gdy dowiedzieli się, że sieć laboratoryjna została uszkodzona przez ransomware.

Alternatywą był szkodliwy program, który kradnie i ujawnia dane pacjentów, co mogło mieć katastrofalne konsekwencje. Po dokładnym przejrzeniu dowodów LabCorp z przekonaniem stwierdza, że nie wyciekły żadne informacje. Można więc zdecydowanie powiedzieć, że mogło być znacznie gorzej.

Po zapoznaniu się z atakiem zespół IT LabCorp natychmiast zaczął przełączać systemy w tryb offline, próbując ograniczyć szkody. W ciągu pięćdziesięciu minut infekcja została opanowana, ale do tego czasu SamSam zdążył już zaszyfrować dane na 7000 systemach i 1900 serwerach.

Pomimo znacznych szkód, które spowodowali, hakerzy odeszli z pustymi rękami. Według oficjalnych ogłoszeń oprogramowanie ransomware zostało „usunięte”, co sugeruje, że LabCorp miał działające kopie zapasowe, z których przywrócono zaszyfrowane informacje. Firma twierdzi, że większość operacji testowych została wznowiona i że wszystko wróci do normy w ciągu kilku dni.

Reasumując, LabCorp na atak zasługuje na pewien poziom pochwały. Firma zareagowała szybko, a oprogramowanie ransomware zostało zawarte, zanim mogło całkowicie zniszczyć infrastrukturę sieci laboratoryjnej. Następnie odpowiedzialne zarządzanie wrażliwymi danymi pomogło zapewnić, że żadne informacje nie zostaną utracone.

Niezbyt dobre wieści

LabCorp jeszcze nie zidentyfikował dokładnego szczepu oprogramowania ransomware, ale CSO i ich źródła wydają się być całkiem pewni, że to SamSam, ponieważ ta konkretna rodzina trafiła w więcej niż kilka organizacji opieki zdrowotnej w ciągu ostatniego roku. Co więcej, chociaż nie jest to ich jedyny wektor infekcji, gang SamSam często atakuje ofiary za pomocą brutalnych danych uwierzytelniających RDP.

Ponownie szczegóły są nadal niejasne, ale dowody sugerują, że LabCorp nie miał uwierzytelniania dwuskładnikowego chroniącego ich konta RDP. Innymi słowy, istniały dowody na to, że LabCorp jest potencjalnym celem, ale mimo że dobrze zareagował na atak, nie zrobił ani jednego kroku, który mógłby go powstrzymać.

Eksperci często mówią, że haker musi odnieść sukces tylko raz, aby przeprowadzić udany atak. Użytkownicy i organizacje z drugiej strony muszą jednak cały czas odnosić sukcesy, aby zapobiec incydentowi związanemu z bezpieczeństwem. Atak ransomware na LabCorp dowodzi, jak poprawne jest to stwierdzenie.