Arhivă : Știri din actualitate Înapoi
Detalii și recomandări în cazul atacului care a afectat activitatea a 26 de spitale din România
În cursul nopții de 11 spre 12 februarie 2024 a avut loc un atac cibernetic de tip ransomware asupra companiei Romanian Soft Company (RSC) www.rsc.ro care dezvoltă, administrează și comercializează sistemul informatic Hipocrate (alias HIS).
Conform datelor DNSC, atacul a
perturbat activitatea a 26 spitale din România care utilizează
sistemul informatic Hipocrate:
Spitalul de Pediatrie Pitești
Spitalul Județean de Urgență Buzău
Spitalul Județean de Urgență Slobozia
Spitalul Județean de Urgență Pitești
Spitalul Județean de Urgență Târgoviște
Spitalul Județean de Urgență "Dr. Constantin
Opriș" Baia Mare
Spitalul Clinic Județean de Urgență "Sf. Apostol
Andrei" Constanța
Spitalul Clinic Colțea, București
Spitalul Militar de Urgență "Dr. Alexandru
Gafencu" Constanța
Spitalul Municipal Sighetu Marmației
Spitalul Municipal Medgidia
Spitalul de Ortopedie și Traumatologie Azuga
Spitalul Orășenesc Băicoi
Spitalul Clinic de Urgență Chirurgie Plastică, Reparatorie
și Arsuri București
Spitalul Clinic C.F. nr. 2 București
Spitalul de Boli Cronice Sf. Luca
Spitalul de Pneumoftiziologie Roșiorii de Vede
Institutul Clinic Fundeni
Institutul de Boli Cardiovasculare Timișoara
Institutul de Fonoaudiologie și Chirurgie Funcțională ORL
„Prof. Dr. D. Hociotă”, București
Institutul Oncologic "Prof. Dr. Al. Trestioreanu"
București (IOB)
Institutul Regional de Oncologie Iași (IRO Iași)
Sanatoriul de Pneumoftiziologie Brad, Hunedoara
Centrul medical MALP SRL Moinești
Centrul Medical Santa Clinic Mitreni (jud. Călărași)
Spitalul de Boli Cronice Smeeni, Buzău
BACKMYDATA
Malware-ul utilizat în cadrul atacului este aplicația
ransomware Backmydata care face parte din familia de malware Phobos,
cunoscută pentru propagarea prin conexiuni de tip Remote Desktop Protocol
(RDP).
Backmydata este conceput pentru a cripta fișierele țintei
vizate utilizând un algoritm complex. Fișierele criptate sunt redenumite cu
extensia .backmydata. După criptare, malware-ul furnizează două note
de răscumpărare (info.hta și info.txt) cu detalii despre pașii
ce trebuie urmați pentru contactarea atacatorilor și stabilirea detaliilor
pentru plata răscumpărării.
Familia de ransomware Phobos a evoluat din
ransomware-ul Dharma/Crysis și de când a fost observat prima dată, în
2019, a suferit modificări minime în ciuda popularității sale în rândul
grupurilor de atacatori cibernetici.
Phobos este un Ransomware-as-a-Service (RaaS),
unde dezvoltatorii și afiliații nu sunt strâns legați, dar colaborează pentru a
distribui malware-ul pe scară largă, vizând diverse organizații și indivizi.
Phobos este remarcat pentru tehnicile sale de evaziune și utilizarea de
mecanisme simple dar eficace pentru atingerea obiectivelor operaționale.
Structura sa descentralizată complică eforturile de a contracara operațiunile
sale și de a identifica atacatorii.
Variantele comune de Phobos (precum Eking, Eight, Elbie, Devos și Faust) demonstrează
adaptabilitatea și diversitatea acestei familii de ransomware. Afiliații
folosesc Tactici, Tehnici și Proceduri (TTPs) similare pentru a
implementa Phobos, ce vizează în mod obișnuit infectarea serverelor cu rol
important în infrastructurile țintă pentru a exercita presiune asupra
victimelor să plătească răscumpărarea.
În Romania, sectorul sănătății a mai fost vizat în 2019 și
2021 de atacuri cibernetice complexe motivate financiar, care au implicat
utilizarea malware-ului Phobos.