Hackerii au atacat platfora informatica Hipocrate, unde se afla serverele a numeroase spitale din Romania. Atacatorii au folosit aplicatia ransomware Backmydata. In total, pana in momentul de fata, 26 de spitale au fost afectate.
Ultimele 5 spitale afectate sunt: Institutul de Fonoaudiologie si Chirurgie Functionala ORL "Prof. Dr. D. Hociota" Bucuresti, Sanatoriul de Pneumoftiziologie Brad Hunedoara, Spitalul de Pneumoftiziologie Rosiorii de Vede, Spitalul Orasenesc Baicoi si Clinica Sante Calarasi (clinica privata).
Alte 79 de unitati din sistemul de sanatate au fost deconectate de la internet si asupra lor se desfasoara investigatii suplimentare pentru a se stabili daca au fost (sau nu) tinta atacului, mai informeaza DNSC.
"Exista o cerere de ransom (rascumparare) de 3,5 BTC (aproximativ 157.000 euro). In mesajul atacatorilor nu se specifica un nume de grupare care revendica acest atac, ci doar o adresa de e-mail. Atat Directoratul, cat si alte autoritati cu atributii in domeniul securitatii cibernetice implicate in analiza acestui incident recomanda sa nu se ia legatura cu atacatorii si sa nu se plateasca rascumpararea ceruta!", au transmis reprezentantii DNSC.
Toate spitalele din Romania care folosesc platforma Hipocrate, indiferent daca au fost sau nu afectate de hackeri, au primit o serie de recomandari din partea DNSC pentru gestionarea situatiei, precum:
- identificarea sistemelor afectate si izolarea lor imediata de restul retelei, cat si de la internet; pastrarea unei copii a mesajului de rascumparare si orice alte comunicari de la atacatori (aceste informatii sunt utile pentru autoritati sau pentru analiza ulterioara a atacului);
- sa nu opreasca echipamentul afectat, intrucat oprirea acestuia va elimina dovezile pastrate in memoria volatila (RAM);
- sa colecteze si sa pastreze toate informatiile de tip jurnal relevante, de pe echipamentele afectate, dar si de la echipamente de retea, firewall;
- sa examineze jurnalele de sistem pentru a identifica mecanismul prin care a fost compromisa infrastructura IT;
- sa informeze imediat toti angajatii si sa notifice clientii si partenerii de afaceri afectati cu privire la incident si amploarea acestuia;
- sa restaureze sistemele afectate pe baza copiilor de rezerva a datelor, dupa ce s-a efectuat o curatare completa a sistemelor (este absolut necesar sa se asigure ca backup-urile sunt neafectate, actualizate si sigure impotriva atacurilor);
- sa se asigure ca toate programele, aplicatiile si sistemele de operare sunt actualizate la ultimele versiuni si ca toate vulnerabilitatile cunoscute sunt corectate.
"DNSC desfasoara o investigatie asupra unui atac cibernetic executat cu aplicatia ransomware Backmydata, un virus din familia ransomware Phobos, care a criptat datele din serverele mai multor spitale din Romania care folosesc platforma informatica Hipocrate. In acest moment putem confirma faptul ca 21 de spitale au fost afectate in urma atacului. Spitalul de Pediatrie Pitesti a fost afectat incepand cu data de sambata 10 februarie 2024. Celelalte spitale au fost afectate incepand cu 11-12 februarie 2024", conform unei actualizari publicate luni seara de DNSC.
DIICOT demareaza o cercetare in rem a atacului cibernetic
DIICOT a intrat pe fir si a demarat o cercetare in rem a atacului cibernetic care are loc asupra spitalelor din Romania.
”La data de 12.02.2024, doua societati comerciale care presteaza servicii de mentenanta a sistemului informatic integrat al spitalelor publice din Romania au sesizat Directia de Investigare a Infractiunilor de Criminalitate Organizata si Terorism cu faptul ca, in zilele de 11 si 12 februarie 2024, persoane neidentificate au atacat sistemul informatic integrat si infrastructura hardware cu un virus de tip ransomware ce a avut drept consecinta blocarea functionarii acestui sistem si a comunicatiilor de orice fel, precum si restrictionarea accesului la bazele de date informatice.
In cauza constituita se efectueaza cercetari, in rem, privind savarsirea infractiunilor de acces ilegal la un sistem, perturbarea functionarii sistemelor informatice si operatiuni ilegale cu programe sau dispozitive informatice.
Precizam ca in acest moment nu pot fi furnizate informatii suplimentare privind stadiul anchetei, fiind incidente dispozitiile art. 12, alin. 1, lit. e, din Legea 544/2001.
Aceasta etapa nu semnifica formularea unor acuzatii impotriva vreunei persoane, ci instituie cadrul procesual necesar strangerii probelor in vederea stabilirii corecte si complete a starii de fapt si adoptarii in cauza a unei solutii legale si temeinice.”, anunta DIICOT in cadrul unui comunicat.
26 de spitale, afectate
Pana la ora actuala, 26 de spitale si institutii medicale din tara, au fost afectate de atacul cibernetic. 7 dintre acestea sunt din Bucuresti:
-
Spitalul Clinic Coltea, Bucuresti
-
Institutul Clinic Fundeni, Bucuresti
-
Institutul Oncologic "Prof. Dr. Al. Trestioreanu" Bucuresti (IOB)
-
Spitalul Clinic de Urgenta Chirurgie Plastica, Reparatorie si Arsuri, Bucuresti
-
Spitalul de Boli Cronice Sf. Luca, Bucuresti
-
Spitalul Clinic C.F. nr. 2, Bucuresti
-
Institutul de Fonoaudiologie si Chirurgie Functionala ORL "Prof. Dr. D. Hociota", Bucuresti
- Spitalul de Pediatrie Pitesti
- Spitalul Judetean de Urgenta Pitesti
- Spitalul Judetean de Urgenta Buzau
- Spitalul Clinic Judetean de Urgenta "Sf. Apostol Andrei" Constanta
- Spitalul Militar de Urgenta "Dr. Alexandru Gafencu" Constanta
- Spitalul Municipal Medgidia
- Spitalul Judetean de Urgenta Slobozia
- Institutul de Boli Cardiovasculare Timisoara
- Spitalul Judetean de Urgenta "Dr. Constantin Opris" Baia Mare
- Spitalul Municipal Sighetu Marmatiei
- Spitalul Judetean de Urgenta Targoviste
- Institutul Regional de Oncologie Iasi (IRO Iasi)
- Spitalul de Ortopedie si Traumatologie Azuga
- Spitalul orasenesc Baicoi
- Spitalul Orasenesc Baicoi
- Centrul medical MALP SRL Moinesti
- Sanatoriul de Pneumoftiziologie Brad Hunedoara
- Spitalul de Pneumoftiziologie Rosiorii de Vede
- Clinica Sante Calarasi (clinica privata).
Majoritatea spitalelor afectate au copii de siguranta a datelor de pe serverele afectate, cu date salvate relativ recent (1-2-3 zile in urma) cu exceptia unuia, ale carui date au fost salvate cu 12 zile in urma. Aceasta ar putea permite restaurarea mai facila a serviciilor si a datelor, subliniaza sursa citata.
FOTO: freepik.com