Atac cibernetic afectează spitale din România

În noaptea dintre duminică și luni, un atac cibernetic a avut loc, afectând până marți dimineața mai mult de 25 de spitale din întreaga țară. Atacatorii cer o rascumparare de 157.000 de euro, însă Directoratul Național de Securitate Cibernetică (DNSC) recomandă ca spitalele să nu ia legătura cu cei care au inițiat atacul și să nu plătească acest cost.

Toate spitalele care utilizează platforma HIPOCRATE, indiferent dacă au fost direct afectate sau nu, au primit o serie de recomandări din partea DNSC pentru a gestiona corect situația. Printre acestea se numără:

• Identificarea sistemelor compromise și izolarea acestora imediat de restul rețelei și de internet.
• Întreținerea unei copii a mesajului de rascumparare și a altor comunicări primite de la atacatori, aceste informații fiind utile pentru autorități.
• Evitarea opririi echipamentului afectat, deoarece aceasta ar putea distruge dovezile aflate în memoria volatila (RAM).
• Colectarea și păstrarea informațiilor de tip jurnal relevante de pe echipamentele infectate și echipamentele de rețea.
• Examinarea jurnalele de sistem pentru a determina modul în care a fost compromisă infrastructura IT.
• Informarea imediată a angajaților și notificarea clienților și partenerilor de afaceri cu privire la incidentul cibernetic.
• Restaurarea sistemelor afectate prin copii de rezervă ale datelor, după ce s-au efectuat curățiri complete ale sistemelor, asigurându-se că backup-urile sunt actualizate și protejate.
• Verificarea actualizărilor pentru toate programele, aplicațiile și sistemele de operare, corectând eventualele vulnerabilități cunoscute.

DNSC a anunțat luni că o investigație este în curs de desfășurare în urma atacului cibernetic, care a fost realizat prin intermediul aplicației ransomware Backmydata, parte a familiei de viruși ransomware Phobos. Aceasta a criptat datele mai multor spitale din România care folosesc platforma informatică HIPOCRATE.

S-a confirmat că 21 de spitale au fost afectate de acest atac, spitalul de pediatrie din Pitești fiind unul dintre ele, începutul afectării având loc pe 10 februarie 2024. Celelalte spitale au fost compromise în perioada 11-12 februarie 2024. Până marți dimineața, alte cinci spitale au confirmat incidentele de securitate cibernetică, fără a fi depistată până acum exfiltrarea de date. Acestea includ:

• Institutul de Fonoaudiologie și Chirurgie Funcțională ORL "Prof. Dr. D. Hociota", București
• Sanatoriul de Pneumoftiziologie Brăd, Hunedoara
• Spitalul de Pneumoftiziologie Roșiorii de Vede
• Spitalul Orășenesc Băicoi
• Clinica Sante Călărași (clinică privată)

Majoritatea spitalelor afectate dispun de copii de siguranță a datelor, salvate recent, ceea ce ar putea facilita restaurarea serviciilor afectate. De asemenea, DIICOT a inițiat cercetări pentru a determina accesul ilegal la sistemele informatice și perturbarea funcționării acestora, în urma sesizărilor primite de la două societăți comerciale ce oferă servicii de întreținere pentru sistemele informatice ale spitalelor publice.