Jedna z największych sieci szpitali w USA zainfekowana ransomware. „Wysoka aktywność dysków, później systemy zaczęły się kolejno wyłączać”

Chodzi o sieć UHS, która zatrudnia 90 000 osób i posiada 400 placówek (sumarycznie w USA oraz UK); roczne przychody sieci to mniej więcej 12 miliardów USD.

Dzisiaj sieć wydała takie oświadczenie, sprowadzające się do stwierdzenia:

sieć IT w placówkach naszej spółki nie działa z powodu „problemu bezpieczeństwa”. Podpisano: Jane Crawford, szef PR-u, UHSComms@gmail.com

Z powyższego widzimy, że prawdopodobnie nie działają również firmowe e-maile. Oświadczenie w oryginale:

The IT Network across Universal Health Services (UHS) facilities is currently offline, due to an IT security issue.

We implement extensive IT security protocols and are working diligently with our IT security partners to restore IT operations as quickly as possible. In the meantime, our facilities are using their established back-up processes including offline documentation methods. Patient care continues to be delivered safely and effectively.

No patient or employee data appears to have been accessed, copied or misused.

Tymczasem pracownicy donoszą o cyberataku na część całej sieci szpitali (USA). Jednym z głównych materiałów źródłowych wydaje się być obecnie ten wątek na Reddicie (gdzie dodatkowe pytania zadają np. reporterzy Reutersa). Pozwólcie, że zacytuję kilka wypowiedzi – jednak czytajcie to z zastrzeżeniem, że nie są to oficjalne, zweryfikowane komentarze:

Pracowałem w jednym ze szpitali w południowo wschodnich Stanach i w niedzielę nasze systemy zaczęły się wyłączać. Pracowałem na komputerze kiedy to wszystko zaczęło się dziać. Było to nieco surrealistyczne i zaczęło się propagować po sieci. Kiedy atak się rozpoczął, programy antywirusowe zostały wyłączone, a twarde dyski zaczęły ostro pracować. Po około minucie komputery zaczęły się wyłączać. Przy próbie włączania, automatycznie się wyłączały.

[I have worked at a UHS facility in the SE US for over 7yrs and on Sunday morning at approx 2AM systems in our ED just began shutting down. I was sitting at my computer charting when all of this started. It was surreal and definitely seemed to propagate over the network. (…). When the attack happened multiple antivirus programs were disabled by the attack and hard drives just lit up with activity. After 1min or so of this the computers logged out and shutdown. When you try to power back on the computers they automatically just shutdown.]

Pracuję w szpitalu w Tucson i nasze zabawki nie działają. Nawet nie pozwalają nam włączyć komputerów.

[I work at a UHS facility in Tucson and our shit is definitely down. They won’t even let us turn the computers on for going on over 24 hours]

W Georgii systemy nie działają. Musimy wszystko zapisywać ręcznie. Nie możemy też włączać komputerów.

[Uhs psych Georgia we’re definitely down. We are having to handwrite everything! We’re not allowed to turn computers on either.]

Co się wydarzyło? Dużo źródeł wskazuje na ransomware Ryuk. Jednocześnie część szpitali działa bez problemów:

Sporo szpitali nie potwierdziło w rozmowie telefonicznej problemów, więc akcja nie objęła całej sieci. Tak czy siak wygląda to na duży atak, który uderzył głównie w szpitale ratunkowe [emergency hospitals] i zajmujące się cięższymi przypadkami [acute care]:

Several hospitals and care utilities I called today denied having any issues, so this didn't impact their entire network of hospitals.

Nonetheless, it's a pretty big attack and appears to have hit its acute care and emergency hospitals primarily

— Catalin Cimpanu (@campuscodi) September 28, 2020

–ms