Løsepengevirus i sykehus i Storbritannia
Løsepengevirus ble førstesidestoff i 2017 da WannaCry rammet store virksomheter over hele verden i et av de største nettangrepene mot datasikkerheten noensinne. Et av de mest høyprofilerte ofrene var Storbritannias nasjonale helsevesen, NHS (National Health Service). Denne artikkelen beskriver hvordan løsepengevirusangrepet mot NHS skjedde, konsekvensene av angrepet og hva du kan lære av det for å redusere risikoen for angrep med løsepengevirus mot din egen bedrift.
Når skjedde NHS-angrepet?
Den 12. mai i 2017 ble NHS i Storbritannia rammet av løsepengeviruset WannaCry. Dette alvorlige løsepengevirusangrepet gjorde at sykehusene ikke kunne fungere, siden driftskritiske systemer ble slått ut. Tusenvis av operasjoner måtte avlyses, og de ansatte mistet tilgang til helsejournaler og telefonsystemer.
NHS i England har beregnet av omtrent en tredjedel av landets 236 helseforetak ble påvirket, og det skapte store bekymringer for både personvern og helse for ansatte og pasienter som ble ofre for datasikkerhetsbruddet som oppstod.
Hva er WannaCry?
I mai i 2017 ble WannaCry verdens mest kjente løsepengevirus da det angrep rundt 230 000 datamaskiner over hele verden på bare én dag. WannaCry-angrepet ble raskt stoppet, men varianter av viruset er fortsatt aktive.
WannaCry er en dataorm som er spesielt vanskelig å hindre, siden den kan infisere enheter og flytte seg rundt på nettverk helt automatisk, slik at mange enheter kan utsettes for fare etter bare ett datainnbrudd. WannaCry er bare en av mange beryktede former for løsepengevirus. Andre eksempler er Sodinokibi og Ryuk.
Hva er Eternalblue?
Koden som utnyttet sårbarheten i Windows-operativsystemet er kjent som Eternalblue, men den ble ikke laget av hackere. I stedet ble den utviklet av National Security Agency (NSA) i USA. Eternalblue ble uheldigvis stjålet av en hackergruppe som heter Shadow Brokers, og de brukte den til å lage WannaCry. Microsoft utviklet raskt en rettelse, men alle Windows-PC-er som ikke har blitt oppdatert er fortsatt sårbare.
Eternalblue utnytter sårbarheter i SMBv1, som er en eldre nettverkskommunikasjonsprotokoll fra Microsoft. Den skadelige programvaren sender en skadelig pakke til serveren, og den kan deretter spre seg raskt på nettverket og utgjøre en betydelig trussel mot sikkerheten på noen få øyeblikk.
Andre typer løsepengevirus som bruker samme tilnærming er Petya (også basert på Eternalblue), Cerber og Locky.
NHS-angrepet: hva skjedde?
WannaCry-angrepene rettet seg ikke mot spesifikke virksomheter. I stedet var de spekulative og lette etter muligheter til å infisere nettverk med kjente svake punkter i sikkerheten.
WannaCry gikk ikke etter NHS spesifikt, men den svake sikkerheten og utdaterte systemer gjorde det enkelt for angrepet å lykkes. Sykehusene i Storbritannia hadde mange datamaskiner som kjørte Windows 7-versjoner som ikke var oppdatert, slik at store deler av nettverket var sårbart samtidig som dette løsepengeviruset spredte seg raskt over hele verden.
I tillegg til å infiltrere lokale nettverk i helseforetakene lykkes WannaCry også i å spre seg på N3-nettverket som kobler sammen alle NHS-foretakene. Angrepet var derimot ikke i stand til å spre seg via e-postsystemet til NHS, slik at man unngikk at enda mer data ble tatt som gissel eller utsatt for phishing.
Hvordan svarte NHS på angrepet?
Betalte NHS løsepenger til WannaCry?
NHS i England og det nasjonale kriminalpolitiet meldte at NHS-organisasjoner ikke betalte løsepenger. Selv om helsedepartementet i Storbritannia ikke har oversikt over hvor mye tjenesteavbruddene kostet NHS, har beregninger vist at det kan ha vært så mye som 92 millioner britiske pund.
Nettangrepet ble stoppet av datasikkerhetsforskeren Marcus Hutchins, som fant et uregistrert domene som løsepengeviruset var programmert til å sjekke automatisk. Ved å registrere domenet var han i stand til å deaktivere viruset. Det nasjonale senteret for datasikkerhet brukte de følgende dagene til å beskytte mot forsøk på å ta ned domenet frem til en dekrypteringsmetode ble funnet.
Hva var konsekvensene av løsepengevirusangrepet på NHS?
Minst 80 av de 236 NHS-helseforetakene i Storbritannia ble påvirket av viruset, i tillegg til 603 primærhelstejenesteforetak og andre NHS-virksomheter og 595 allmennpraksiser.
Nettangrepet ble stoppet av datasikkerhetsforskeren Marcus Hutchins, som fant et uregistrert domene som løsepengeviruset var programmert til å sjekke automatisk. Ved å registrere domenet var han i stand til å deaktivere viruset. Det nasjonale senteret for datasikkerhet brukte de følgende dagene til å beskytte mot forsøk på å ta ned domenet frem til en dekrypteringsmetode ble funnet.
Andre eksempler på angrep med løsepengevirus ved store sykehus
Løsepengeviruset i NHS er ikke den eneste høyprofilerte hendelsen som omfattet helseforetak. I juli i 2019 ble Springhill Medical Center i Alabama (USA) rammet av et angrep med løsepengevirus som resulterte i en driftsstans på nettverket som deaktiverte overvåkingssystemer på fødeavdelingen. Etter dette saksøkte en av mødrene sykehuset etter at barnet hennes ble født med hjerneskade og senere døde som følge av angrepet fordi det påvirket overvåkingen av helsen. Det ble det første dødsfallet som antas å være forårsaket av løsepengevirus.
Et annet svært skadelig angrep med løsepengevirus rammet United Health Services i september i 2020. IT-nettverket deres ble koblet ut i flere dager av Ryuk-løsepengeviruset, noe som førte til avlyste konsultasjoner, flytting av pasienter til andre institusjoner og bruk av papir i stedet for digital registrering. Det tok nesten en måned å gjenopprette driften, og kostnaden ble beregnet til 67 millioner dollar.
Dessverre har angrep med løsepengevirus mot sykehus blitt stadig mer vanlig. En rapport viser at 45 millioner personer ble påvirket av angrep på helsetjenester i 2021, noe som er en dramatisk økning fra 34 millioner i 2020. En annen undersøkelse fant at 81 % av helseforetakene i Storbritannia ble offer for angrep med løsepengevirus i 2021.
Hva kan bedriftsledere lære av dette?
Helsedepartementet i Storbritannia ble advart om risikoen for nettangrep mot NHS et år før WannaCry-angrepet, og selv om arbeid var igangsatt for å gjøre endringer, var det for sent. Departementet ble også kritisert for å tillate bruk av gamle Windows-systemer som Windows XP, som Microsoft sluttet å gi støtte for i 2014.
Den viktigste lærdommen av dette høyprofilerte angrepet er å prioritere beste praksis innen datasikkerhet og innføre oppdateringsadministrasjon. Selv om det kan være en urfordring i et krevende miljø, er det helt nødvendig for å hindre at sårbarheter blir utnyttet av hackere for å få tilgang til bedriftens nettverk og servere.
Samtidig bør man følge beste praksis innen datasikkerhet, som blant annet:
- opprette en IT-nødgjenopprettingsplan
- implementere verktøy som beskytter mot løsepengevirus
- opplæring av ansatte for å forebygge angrep med phishing og sosial manipulering
- lage trygge sikkerhetskopier av data slik at sensitive dokumenter kan gjenopprettes
Ved å kombinere disse elementene kan risikoen for angrep reduseres slik at nedetiden blir korter og gjenoppretting går raskere. Hvis bedriften blir offer for et angrep, er det nyttig å være oppmerksom på at mange sikkerhetsorganisasjoner og myndigheter har laget dekrypteringsverktøy som kan gjenopprette data som er stjålet av visse typer kjente løsepengevirus.
Du kan finne ut mer om betydelige angrep med løsepengevirus i kundehistoriene om byene Atlanta og Baltimore i USA.
La Avast beskytte bedriften mot angrep med løsepengevirus
Sikkerhetskopiering og effektiv implementering av sikkerhet er helt avgjørende for å beskytte bedriften mot løsepengevirus. Avasts datasikkerhetsløsninger for små bedrifter gir deg mulighet til å velge nivået på beskyttelsen som passer best for bedriftens størrelse og behov, slik at den kan beskytte enhetene mot løsepengevirus og andre typer nettangrep.