Ce s-a înâmplat?
Pe data de 12 februarie 2024 Directoratul Naţional de Securitate Cibernetică a publicat un comunicat de presă în care anunţa că o companie ce furnizează software-ul pentru mai multe spitale din România a fost vizată de un atac cibernetic de tip ransomware. Este vorba despre compania Romanian Soft Company, companie românească, producătoare de software HIS (Hospital Information System).
Înființată în anul 2000, compania Romanian Soft Company furnizeaza software-ul Hipocrate către multiple spitale din România, dintre care, conform altui comunicat DNSC, 26 au fost afectate în mod direct de atacul ce a vizat compania. Software-ul Hipocrate este un software de tip HIS, în cadrul căruia se centralizează multiple date confidențiale despre pacienți, instituția medicală, personalul medical, date financiare etc. Pe lângă aceste lucruri, acesta este conectat în timp real și cu alte sisteme ale statului Român (sursa) precum CNAS sau Ministerul Sănătății.
Lista celor 21 de spitale afectate nu a fost însă lista finală, DNSC a venit cu o serie de actualizări pe măsură ce incidentul era investigat de autorități, în acest moment fiind confirmate în total 26 de spitale ce au fost afectate direct. Pe lângă acestea, autoritățile au menționat că alte 79 unități din sistemul de sănătate au fost deconectate complet de la internet, cel mai probabil ca măsura prevenitvă. Conform acestora din urmă, atacatorii nu s-au identificat ca fiind parte dintr-o grupare și nu au menționat nimic altceva în mesajul de răscumpărare în afară de o adresă de email și contravaloarea răscumpărării totale de 3,5 BTC (aproximativ 157.000 EURO).
Presa internațională a preluat foarte rapid știrea, dar într-un mod eronat în cele mai multe cazuri, nemenționând circumstanțele reale ale atacului și punând securitatea unităților de sănătate într-o lumină relativ proastă.
Backmydata Ransomware
Conform DNSC, malware-ul utilizat în cadrul atacului este un ransomware numit Backmydata care face parte din familia de malware Phobos, cunoscută pentru propagarea prin conexiuni de tip Remote Desktop Protocol (RDP).
Phobos este un Ransomware-as-a-Service (RaaS), adică dezvoltatorii colaboreaza cu terțe persoane (angajați, oameni din interiorul organizațiilor, scammeri, script kiddies, terți hackeri) care le oferă accesul către diverse sisteme în schimbul unui procent din suma răscumpărării.
În Romania, sectorul sănătății a mai fost vizat în 2019 și 2021 de atacuri cibernetice complexe motivate financiar, care au implicat utilizarea malware-ului Phobos.
Există suspiciuni neconfirmate până în prezent cum că programul de Ransomware-as-a-Service Phobos ar fi guvernat fie de o companie fie de un actor statal (sursa), deoarece gruparea operează foarte meticulos și este foarte bine organizată, lucru foarte rar întâlnit la grupările de hackeri decentralizate.
Spitalele
Deși sistemele spitalelor nu au fost atacate direct de către hackeri, spitalele au devenit ținte în momentul în care infrastructura companiei a fost compromisă. Nu este confirmat și nici specificat de autorități modul exact prin care hackerii s-au folosit de sistemul software-ului Hipocrate pentru a propaga atacul de la Romanian Soft Company către unitățile de sănătate. Știm însă faptul că protocolul RDP, protocol ce permite accesul de la distanță, a jucat un rol important în tot acest incident.
Cel mai probabil, compania Romanian Soft Company folosea protocolul RDP pentru a gestiona de la distantă serverele din cadrul instituțiilor pe care rula software-ul Hipocrate, iar atacatorii s-au folosit de acesta pentru a propaga ransomware-ul pe serverele instuțiilor. (Ipoteză neconfirmată)
Acest atac este un exemplu foarte bun de Supply Chain Attack, un atac cibernetic în care hackerii se folosesc de furnizori pentru a ajunge la ținta finală. Nu știm mai multe detalii despre infrastructura instituțiilor sau modul prin care atacatorii s-au folosit de ea, dar putem observa cum în aceste cazuri nu contează doar securitatea cibernetică și nivelul de protecție al unei entități, ci și securitatea tuturor furnizorilor din lanțul de aprovizionare al acestora. Un sistem este securizat atât timp cât cea mai slabă verigă a ansambului sistemului este securizată.
Conform informațiilor furnizate de MS și DNSC, ,,majoritatea ” spitalelor afectate aveau copii recente de siguranță a datelor. Subliniem pe această cale importanța implementării masurilor de securitate cibernetică, dar și planificarea și implementarea corectă a procedurilor de management pentru incidente de acest tip. Ce s-ar fi întâmplat cu pacienții dacă toate datele din sistemul informatic erau pierdute?
Nu putem însă trece cu vederea următorul termen din anunțul făcut public de către DNSC: ,,majoritatea” – deci nu toate? Ce date au fost pierdute? Au fost acele unități auditate conform legii de un specialist? Ce riscuri au fost identificate? Ce măsuri au fost luate?
Este încă o situație în care ni se demonstrează importanța auditurilor de securitate cibernetică și riscul la care ne putem expune dacă nu luăm în considerare recomandările specialiștilor avizați atât de reglemetările legale cât și de expertiza reală în domeniu. Subliniem faptul că unitățile de sănătate reprezintă operatori de servicii esențiale, iar conform legii 362/2018 aceștia au obligația de a implementa măsuri adecvate pentru a preveni și minimiza astfel de incidente cibernetice.
Atacul inițial
Știm ce s-a întâmplat odată ce sistemul companiei furnizor a fost compromis, dar nu știm modul prin care hackerii au reușit să facă asta. Compania nu a publicat nicio altă informație referitoare la atac, dar conform datelor cunoscute despre modul în care afiliații sistemului de Ransomware-as-a-Sevice Phobos operează, putem afirma că cel mai probabil a fost vorba fie de un email malițios primit de unul dintre angajații companiei fie de un serviciu expus și nesecurizat corespunzător pe unul dintre serverele de dezvoltare ale acestora.
Iată de ce educația, dar și conștienziarea pericolelor cibernetice este foarte importantă și cum un singur – presupus – email poate să cauzeze indisponibilizarea, fie ea și temporară, a unităților de sănătate dintr-un stat.
Concluzie
Atacurile cibernetice sunt la ordinea zilei, nu doar la noi, ci în toată lumea sunt astfel de atacuri în fiecare zi. În perioada recentă am observat cum numărul de atacuri de tip ransomware este tot mai răspândit, atât în cazul companiilor multinaționale, imm-urilor, guvernului sau chiar al spitalelor.
Companiile, dar și institutiile ar trebui să evalueze foarte serios și să nu mai considere că nu pot fi ținte ale unor astfel de atacuri, indiferent de măsurile de securitate implementate. Acestea ar trebui să implementeze măsuri pentru a combate rapid atacurile iminente și pentru a reduce efectele lor.
Așadar, nu se mai pune problema DACĂ organizațiile (fie ele de orice fel, publice sau private) vor fi ține ale hackerilor, ci CÂND se va întâmpla asta. Întrebările esențiale în această problemă sunt următoarele: vor fi pregatite corespunzător? Vor ști ce au de facut?
Lista unităților afectate
- Spitalul Județean de Urgență Buzău
- Spitalul Județean de Urgență Slobozia
- Spitalul Clinic Județean de Urgență „Sf. Apostol Andrei” Constanța
- Spitalul Județean de Urgență Pitești
- Spitalul Militar de Urgență „Dr. Alexandru Gafencu” Constanța
- Institutul de Boli Cardiovasculare Timișoara
- Spitalul Județean de Urgență „Dr. Constantin Opriș” Baia Mare
- Spitalul Municipal Sighetu Marmației
- Spitalul Județean de Urgență Târgoviște
- Spitalul Clinic Colțea
- Spitalul Municipal Medgidia
- Institutul Clinic Fundeni
- Institutul Oncologic „Prof. Dr. Al. Trestioreanu” București (IOB)
- Institutul Regional de Oncologie Iași (IRO Iași)
- Spitalul de Ortopedie și Traumatologie Azuga
- Spitalul orășenesc Băicoi
- Spitalul Clinic de Urgență Chirurgie Plastică, Reparatorie și Arsuri
- București
- Spitalul de Boli Cronice Sf. Luca
- Spitalul Clinic C.F. nr. 2 București
- Centrul medical MALP SRL Moinești
- Institutul de Fonoaudiologie și Chirurgie Funcțională ORL „Prof.
- Dr. D. Hociotă”, București
- Sanatoriul de Pneumoftiziologie Brad, Hunedoara
- Spitalul de Pneumoftiziologie Roșiorii de Vede
- Centrul Medical Santa Clinic Mitreni
- Spitalul de Boli Cronice Smeeni
Surse
- https://dnsc.ro/citeste/alert-backmydata-ransomware-spitale-romania
- https://dnsc.ro/citeste/atac-cibernetic-ransomware-spitale-Romania
- https://dnsc.ro/citeste/alerta-backmydata-ransomware-indicatori-de-compromitere-iocs
- https://blog.talosintelligence.com/understanding-the-phobos-affiliate-structure/
- https://www.bbc.com/news/technology-68288150
- https://www.nbcnews.com/tech/security/romania-hospital-hack-ransomware-russia-cyber-rcna138607
- https://romania.europalibera.org/a/atac-cibernetic-spitale-firme-gestiune-hipocrate/32815748.html
