Generat cu ChatGPT 4/DALL-E.
Ransomware-ul care a blocat spitalele românești este vândut și ca abonament20 min read
Atacul care a criptat computerele a peste 100 de spitale românești să treacă offline a utilizat o variantă modificată a unui ransomware cu care au mai fost blocate, în ultimii ani, spitale autohtone. În cercurile de criminalitat cibernetică, acesta este comercializat pe modele similare cu „software-as-a-service”
Faptul că spitalele românești au sisteme informatice antice și neprotejate e public de ani buni. Era doar o chestiune de timp ca de acest lucru să profite hackerii. N-ar trebui deci să mire pe nimeni că mare parte din sistemul medical românesc a fost dat peste cap, începând cu 10 februarie, de un atac cibernetic cu un ransomware care // „Un atac cibernetic de tip ransomware a afectat spitale din România”, dnsc.ro //
CITEȘTE ȘI: Spitalele românești riscă să fie paralizate de hackeri. Au softuri neactualizate de 17 ani
Atacul a țintit sistemul informatic Hipocrate, furnizat de Romanian Soft Company, un program folosit de spitale pentru a prelucra și stoca în cloud datele pacienților și pentru a trimite cereri de decontare a serviciilor medicale către Casa de Asigurări de Sănătate. Încă nu este clar de unde a pornit breșa de securitate, ci doar că atacatorii au folosit sistemul pentru a căpăta acces la serverele spitalelor.
Hack-ul a afectat inițial Spitalul Pediatric din Pitești, pe 10 februarie, și s-a extins pe 11 și 12 februarie la alte 26 de spitale. Alte 79 de unități medicale care foloseau sistemul Hipocrate au trebuit să fie deconectate preventiv de la internet. Practic, aproape o cincime din toate spitalele românești au fost nevoite să funcționeze offline, iar haosul creat a provocat amânarea unor intervenții medicale și a dus la imposibilitatea temporară de a prescrie rețete pentru pacienți.
Niciun grup de hackeri nu a revendicat atacul. În schimb, atacatorii au lăsat date de contact anonimizate, prin intermediul cărora au cerut, conform DNSC, o răscumpărare de 3,5 bitcoini (aproximativ 134.000 de euro). Nu este încă clar nici dacă și în ce măsură atacatorii au reușit să descarce date de la unitățile medicale afectate.
Nu este, însă, prima dată când spitalele românești au fost atacate cu acest tip specific de ransomware. Și, chiar dacă DIICOT cercetează cazul, șansele ca autorii să fie identificați sunt minime. Metoda de atac pare a folosi o practică tot mai comună în atacurile cibernetice, care permite, teoretic, și unor indivizi neasociați grupărilor cybercriminale, și chiar și cu un nivel limitat de cunoștințe în programare, să efectueze atacuri cibernetice complexe.
Virus nou, familie veche
Virusul specific folosit în atacul de weekendul trecut este, cel puțin la nivel de nume un ransomware nou, numit BackMyData. Este atât de nou, încât prima mențiune a lui apare în informarea transmisă de DNSC pe 12 februarie.
Abia pe 13 februarie, BackMyData a apărut pe portaluri specializate precum // „ BackMyData (.backmydata) ransomware virus – removal and decryption options”, pcrisk.com // care analizează constant mostrele de viruși informatici urcate pe platforma // Detalii pe virustotal.com //
Deși BackMyData este nou, atât DNSC, cât și PC Risk menționează că acesta face parte dintr-o // Împărțirea pe familii se face atunci când stilul de atac, modul în care acționează virușii și codul acestora sunt similare. // numită Phobos, folosită des în ultimii ani pentru atacurile împotriva business-urilor mici și mijlocii din toată lumea
Precum majoritatea ransomware-urilor, BackMyData criptează fișierele de pe dispozitivele afectate, transformându-le într-unele care nu pot fi accesate și care au o extensie cu numele virusului. Pot fi accesate, în schimb, două variante ale notei de răscumpărare, una cu terminația .hta, și alta în format .txt.
Ransomware-ul exploatează vulnerabilități ale Windows Remote Desktop Protocol (RDP). Acesta este un protocol folosit de programele care oferă servicii de conexiune de la distanță pentru PC-uri, precum cele folosite în munca remote. Atacatorii pot apela la diverse metode pentru a căpăta acces la astfel de sisteme: fie pot sparge conturile administratorilor de rețea de prin // Atacuri prin care se încearcă toate combinațiile posibile de parole pentru a o afla pe cea reală, la care sunt vulnerabili utilizatorii cu parole scurte sau comune, de tipul „admin” sau 12345678. // pot folosi credențiale cumpărate din baze de date scurse pe Dark Web sau pot ataca conexiuni nesecurizate, care folosesc porturile de care protocolul are nevoie. Alternativ, ransomware-ul poate ajunge pe dispozitivele țintă și prin atașamente malițioase din e-mailuri de tip phishing.
De asemenea, BackMyData dezactivează firewallul sistemelor infectate și șterge așa-numitele „Volume Shadow Copies” (VSC) – puncte de restaurare pe care sistemele de operare Microsoft le creează, în funcție de setările utilizatorului, pentru întreg sistemul sau pentru fișiere specifice. Astfel, se asigură că victimele nu vor putea folosi unelte precum System Restore și nu pot apela la opțiunea de // Opțiune disponibilă în meniul de Proprietăți, tab-ul de Versiuni Anterioare al unui fișier. //
În nota de răscumpărare, hackerii avertizează că datele criptate pot fi recuperate doar dacă plătesc suma cerută, iar în caz contrar vor fi scoase la vânzare. Atacatorii pun presiune pe victime prin enumerarea unui șir de posibile repercusiuni cu care s-ar putea confrunta dacă datele sunt vândute, precum faptul că datele personale ale angajaților sau clienților ar putea fi folosite pentru furt de identitate sau că vor deveni pasibili de amenzi din partea autorităților publice sau să se confrunte cu litigii din partea clienților.
Imediat după asta, vine și promisiunea că prețul de răscumpărare va fi redus la doar 30% din cel menționat dacă victima îi contactează în primele șase ore, iar banii sunt transferați în maximum 24 de ore.
Pentru contact, hackerii lasă două opțiuni: aplicația de messenger Session, care este criptată la ambele capete și păstrează anonimitatea utilizatorilor prin rutarea comunicațiilor // Similar cu cea folosită de browsere cu accent de privacy precum TOR. // sau o adresă de e-mail creată prin providerul Skiff, care, de asemenea, criptează conversațiile la ambele capete.
RaaS: Abonamente la ransomware
// „Overview of Phobos Ransomware”, hhs.gov (PDF) // al experților în securitate cibernetică din cadrul Departamentului pentru Sănătate și Servicii Umane (HHS) din SUA notează că familia de ransomware Phobos a fost identificată pentru prima dată în 2017, și este legat de două familii de ransomware mai vechi, numite Dharma și CrySiS.
Documentul notează că atacatorii care folosesc Phobos vizează, de cele mai multe ori, afaceri mici și mijlocii, care includ și spitale. În plus, ei cer, de obicei,răscumpărări mai mici pentru decriptarea datelor decât alte familii de ransomware.
Atacurile pe bază de Phobos au început să devină comune în 2019 și 2020. În 2023, variante de ransomware din familia Phobos au fost folosite intensiv în atacuri din toată lumea de un grup de hackeri nou-apăruți pe scenă, 8Base, // „A deep dive into Phobos ransomware, recently deployed by 8Base group”, talosintelligence.com // Naționalitatea grupului nu este cunoscută, dar o investigație publicată de un cunoscut jurnalist american specializat în criminalitate cibernetică, //„Who’s Behind the 8Base Ransomware Website?”, krebsonsecurity.com // a arătat că o parte din site-ul grupării a fost creat de un programator din Republica Moldova.
Însă unul dintre cele mai interesante detalii din analizele făcute de experți și companii de securitate asupra atacurilor cu Phobos este că multe dintre ele funcționează pe un model numit „Ransomware-as-a-service” (RaaS). Similar cu modelul real de business Software-as-a-Service (SaaS), creatorii de ransomware vând sau închiriază astfel de metode de atac oricui este interesat.
Acestea nu vin, însă, „de-a gata”, ci sub formă de kit-uri software prin care cumpărătorul își poate construi un ransomware personalizat. Conform firmei americane de securitate cibernetică // „RaaS explained: how it works”, crowdstrike.com // operatorii de ransomware și clienții, numiți „afiliați”, rămân în contact pe parcursul atacurilor, iar primii gestionează inclusiv portalurile de plată pentru victime. La sfârșit, fondurile de la victimele care aleg să plătească se împart în funcție de modelul agreat de operatori și afiliați: în unele cazuri profitul se împarte, iar în altele atacatorii păstrează profitul, însă plătesc un abonament lunar operatorului.
Așa ajung grupuri sau indivizi care nu ar avea, în mod normal, capabilitățile să organizeze atacuri complexe, să aibă la îndemână toate uneltele necesare pentru a exploata vulnerabilități din sisteme publice. Un exemplu a avut loc în 2020, când o altă variantă necunoscută până atunci de Phobos, numită Eking, //„Ransomware-as-a-Service: Eking targets government organization”, darktrace.com // Nu ar fi exclus, deci, ca și BackMyData să funcționeze pe un model similar.
Déjà vu autohton
De altfel, nu este prima dată când spitalele din România au de-a face cu un atac care folosește Phobos. În 2021, DNSC anunța că Spitalul Clinic CF Witting din București a fost vizat de un astfel de atac. Datele de pe serverul spitalului au fost criptate, //„Infectare cu PHOBOS ransomware la Spitalul Clinic Nr.1 CF Witting din București”, dnsc.ro //
În același comunicat, DNSC-ul menționa că un incident similar a afectat alte patru spitale din România în 2019. La acea vreme, instituția a publicat o alertă care //„[UPDATE] Alertă: Un nou val de ransomware afectează instituții din domeniul sănătății”, dnsc.ro // însă nu a oferit date despre instituțiile afectate.
Mai multe informații despre acele atacuri au fost prezentate, în schimb, de directorul Centrului național Cyberint, Anton Rog, // „User-ul ”admin”, parola tot ”admin”. Și cum au fost monitorizate inclusiv site-urile porno la summit-ul de la Sibiu”, turnulsfatului.ro // Acesta declara că spitale din București, Huși, Dorohoi sau Alba-Iulia au fost atacate fix prin intermediul protocoalelor RDP, folosite de angajații IT pentru a munci de acasă. Rog afirma chiar că aceștia ar fi lăsat userii și parolele setate din oficiu cu „admin”, ușurând semnificativ un posibil atac de tip brute force.
E imposibil de spus dacă astfel de atacuri au fost un preambul pentru cel de amploare mult mai ridicată de zilele trecute sau dacă există vreo legătură între autorii lor. Nici măcar nu se poate ști dacă creatorii acestei variante noi de Phobos sunt și aceeași care au executat atacurile anterioare. Cert, în schimb, este că există vulnerabilități în sistemele IT din spitalele românești care, în ciuda avertizărilor repetate, tot nu au fost rezolvate.
Totuși, în ciuda amplorii atacului, urmările acestuia par să nu fie atât de grave. Atât DNSC-ul, cât și administratorul firmei care gestionează sistemul Hipocrate susțin că nu au fost furate date în urma atacului. În același timp, chiar și dacă ar fi fost sustrase date,// „Peste 100 de spitale, afectate câteva zile de un atac cibernetic. Rețeaua e acum funcțională aproape în totalitate. Învățămintele unui atac”, europaliberă.org// Așa că singura barieră pentru revenirea la funcționarea normală a spitalelor afectate ține de doar de procesul de restaurare al copiilor de siguranță. Avertismentul este, însă, unul cât se poate clar: există vulnerabilități în sistemele IT din spitalele românești care, în ciuda avertizărilor repetate, tot nu au fost rezolvate.
