Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Jedna z największych sieci szpitali w USA zainfekowana ransomware. „Wysoka aktywność dysków, później systemy zaczęły się kolejno wyłączać”

28 września 2020, 19:39 | W biegu | komentarze 4

Chodzi o sieć UHS, która zatrudnia 90 000 osób i posiada 400 placówek (sumarycznie w USA oraz UK); roczne przychody sieci to mniej więcej 12 miliardów USD.

Dzisiaj sieć wydała takie oświadczenie, sprowadzające się do stwierdzenia:

sieć IT w placówkach naszej spółki nie działa z powodu „problemu bezpieczeństwa”. Podpisano: Jane Crawford, szef PR-u, UHSComms@gmail.com

Z powyższego widzimy, że prawdopodobnie nie działają również firmowe e-maile. Oświadczenie w oryginale:

The IT Network across Universal Health Services (UHS) facilities is currently offline, due to an IT security issue.

We implement extensive IT security protocols and are working diligently with our IT security partners to restore IT operations as quickly as possible. In the meantime, our facilities are using their established back-up processes including offline documentation methods. Patient care continues to be delivered safely and effectively.

No patient or employee data appears to have been accessed, copied or misused.

Tymczasem pracownicy donoszą o cyberataku na część całej sieci szpitali (USA). Jednym z głównych materiałów źródłowych wydaje się być obecnie ten wątek na Reddicie (gdzie dodatkowe pytania zadają np. reporterzy Reutersa). Pozwólcie, że zacytuję kilka wypowiedzi – jednak czytajcie to z zastrzeżeniem, że nie są to oficjalne, zweryfikowane komentarze:

Pracowałem w jednym ze szpitali w południowo wschodnich Stanach i w niedzielę nasze systemy zaczęły się wyłączać. Pracowałem na komputerze kiedy to wszystko zaczęło się dziać. Było to nieco surrealistyczne i zaczęło się propagować po sieci. Kiedy atak się rozpoczął, programy antywirusowe zostały wyłączone, a twarde dyski zaczęły ostro pracować. Po około minucie komputery zaczęły się wyłączać. Przy próbie włączania, automatycznie się wyłączały.

[I have worked at a UHS facility in the SE US for over 7yrs and on Sunday morning at approx 2AM systems in our ED just began shutting down. I was sitting at my computer charting when all of this started. It was surreal and definitely seemed to propagate over the network. (…). When the attack happened multiple antivirus programs were disabled by the attack and hard drives just lit up with activity. After 1min or so of this the computers logged out and shutdown. When you try to power back on the computers they automatically just shutdown.]

Pracuję w szpitalu w Tucson i nasze zabawki nie działają. Nawet nie pozwalają nam włączyć komputerów.

[I work at a UHS facility in Tucson and our shit is definitely down. They won’t even let us turn the computers on for going on over 24 hours]

W Georgii systemy nie działają. Musimy wszystko zapisywać ręcznie. Nie możemy też włączać komputerów.

[Uhs psych Georgia we’re definitely down. We are having to handwrite everything! We’re not allowed to turn computers on either.]

Co się wydarzyło? Dużo źródeł wskazuje na ransomware Ryuk. Jednocześnie część szpitali działa bez problemów:

Sporo szpitali nie potwierdziło w rozmowie telefonicznej problemów, więc akcja nie objęła całej sieci. Tak czy siak wygląda to na duży atak, który uderzył głównie w szpitale ratunkowe [emergency hospitals] i zajmujące się cięższymi przypadkami [acute care]:

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. asdsad

    Czy istnieje jakiś ransom, który szyfruje systemy unixowe?
    Może te wszystkie AD i Exczendże, to ślepa uliczka?

    Odpowiedz
  2. Krzysztof

    A nie jest przypadkiem tak, że szyfruje wszystko co ma udostępnione? Np. folder wystawiony z X po smb do stacji.
    O ile pamiętam, to miałem zdarzenie, że zaszyfrował zasób wystawiony po smb z macierzy dyskowej – Netap/EMC.

    Odpowiedz
  3. Wredny

    I jak powiedział rozmówca: „Kiedy atak się rozpoczął, programy antywirusowe zostały wyłączone, a twarde dyski zaczęły ostro pracować.” No to na kiego grzyba te programy antywirusowe, skoro byle programik to wyłącza z automatu. Wydaje się kasę na aktualizację, a ten artykuł pokazał, że to tylko napychanie kasy firmom za iluzoryczne poczucie bezpieczeństwa.
    Powstaje pytanie, w jakim procencie te „super” antywirusy zabezpieczają użyszkodnika? Może w tak znikomym, że tylko wirusy pisane przez niekumatych i te już znane potrafią blokować. Tylko jakie to zabezpieczenie w sieci?

    Odpowiedz
    • 1234567890

      Na 0-day nie ma lekarstwa, ale dzieki zaawansowanym antywirusom można prześledzić strategię ataku, ostrzec innych i być może przygotować lekarstwo.

      Odpowiedz

Odpowiedz