Ирландия предупреждает о возможной утечке данных пациентов после атаки программ-вымогателей

На прошлой неделе руководство службы здравоохранения Ирландии подверглось нападению неизвестного злоумышленника и было вынуждено отключить все свои системы в попытке остановить распространение вымогателя, использованного в атаке. Теперь HSE предупреждает, что существует высокий риск "злоупотребления" и утечки конфиденциальных данных о пациентах злоумышленниками.

Атака на инфраструктуру системы здравоохранения Ирландии последовала сразу за двумя другими крупными атаками программ-вымогателей, которые произошли всего за несколько дней. Однако, хотя две другие крупные атаки, нацеленные на Colonial Pipeline в США и дочерние компании Toshiba Corporation в Европе, были результатом совместной работы группы DarkSide и ее филиалов, злоумышленник, нацеленный на ИТ-сеть здравоохранения Ирландии, еще не известен.

Пока что известно о штамме вымогателей, использованных в инциденте. Злоумышленники развернули версию вымогателя Conti. Кроме того, расследование и попытки вернуть ИТ-сеть в оперативный режим показали, что в скомпрометированных системах также был установлен модуль управления и контроля Cobalt Strike Beacon.

Несмотря на значительные препятствия, которые это нападение создало для медицинских и социальных служб страны, правительство Ирландии уже четко заявило, что они не будут подыгрывать и выкуп не будет выплачиваться. Вероятно, это разумный выбор, учитывая, как шла работа с программой-вымогателем Colonial Pipeline. Оказалось, что Colonial выполнила платеж в размере около 5 миллионов долларов всего через несколько часов после атаки, но инструмент, который компания получила от DarkSide, был настолько медленным в расшифровке данных, что был практически бесполезен, и компания приступила к восстановлению нормальной работы с использованием собственных резервных копий. , фактически ничего не получая от обмена.

Риск двунаправленных атак, которые как скремблируют сеть, так и захватывают информацию, становится все более распространенным явлением для операторов программ-вымогателей. Украденная конфиденциальная информация используется в качестве дополнительного рычага для угроз и шантажа жертве вымогателя, чтобы она заплатила не только за восстановление ее сети, но и за предотвращение утечки данных в Интернете.

Этот вид угроз особенно опасен, когда речь идет об атаках, подобных атаке на службы здравоохранения Ирландии. Информация о пациентах является высокочувствительным активом данных и может содержать ряд очень личных и конфиденциальных данных, которые действительно могут вызвать серьезные проблемы, если вся информация просочится в сеть.

Ирландская HSE относительно медленно восстанавливает свои системы. Согласно отчету ZDNet, только 2 000 из 80 000 устройств были восстановлены в рабочем состоянии и подключены к сети. Министр здравоохранения заверил население, что «сотни людей» работают круглосуточно, чтобы привести все в порядок, но даже, по его словам, могут пройти «недели», прежде чем каждая отдельная подсистема снова заработает.