Atak ransomware na szpitale NHS
Oprogramowanie ransomware trafiło na pierwsze strony gazet w 2017 roku, gdy czołowe organizacje na świecie padły ofiarą WannaCry, jednego z największych dotychczas międzynarodowych cyberataków. Jedną z najgłośniejszych ofiar była NHS (National Health Service, pl. Narodowa Służba Zdrowia) w Wielkiej Brytanii. W tym artykule przeanalizowano, jak doszło do ataku ransomware na NHS, jakie były jego konsekwencje oraz jakie wnioski można wyciągnąć, aby zmniejszyć ryzyko ataku ransomware na swoją firmę.
Kiedy miał miejsce atak na NHS?
12 maja 2017 roku NHS w Wielkiej Brytanii została zaatakowana przez oprogramowanie ransomware znane jako WannaCry. Ten poważny atak ransomware sprawił, że szpitale nie mogły funkcjonować, ponieważ kluczowe systemy przestały działać. Trzeba było odwołać tysiące operacji, a personel nie miał dostępu do kartotek pacjentów; co więcej, nie mógł korzystać z systemów telefonicznych.
NHS England oszacowała, że około jedna trzecia z 236 trustów NHS w Anglii została dotknięta atakiem, co spowodowało obawy o prywatność i zdrowie personelu i pacjentów, którzy padli ofiarą naruszenia danych.
Co to jest WannaCry?
W maju 2017 roku oprogramowanie WannaCry stało się najbardziej niesławną formą ransomware, atakując około 230 000 komputerów na całym świecie w ciągu zaledwie jednego dnia. Atak WannaCry został szybko powstrzymany, ale warianty oryginalnego oprogramowania WannaCry wciąż pozostają aktywne.
Jako robak, oprogramowanie WannaCry jest szczególnie trudne do powstrzymania, ponieważ może infekować urządzenia i automatycznie przemieszczać się po sieci, w związku z czym jedna infekcja zagraża dużej liczbie urządzeń. WannaCry to tylko jedna z wielu owianych złą sławą form ransomware. Inne obejmują m.in. Sodinokibi i Ryuk.
Co to jest Eternalblue?
Eternalblue to exploit wykorzystujący lukę w systemie operacyjnym Windows. Nie został on jednak stworzony przez hakerów. Opracowała go amerykańska agencja National Security Agency (NSA). Niestety Eternalblue został wykradziony przez grupę hakerską The Shadow Brokers i wykorzystany do stworzenia WannaCry. Firma Microsoft szybko przygotowała poprawkę, ale każdy komputer z systemem Windows, który nie został zaktualizowany od czasu jej opublikowania, pozostaje podatny na atak.
Eternalblue wykorzystuje SMBv1, stary protokół komunikacji sieciowej firmy Microsoft. Samo wysłanie złośliwego pakietu na docelowy serwer sprawia, że złośliwe oprogramowanie może szybko rozprzestrzenić się po sieci, tworząc w jednej chwili poważne zagrożenie dla bezpieczeństwa.
Inne rodzaje oprogramowania ransomware, które wykorzystują podobne podejście, to m.in. Petya (również oparte na Eternalblue), Cerber i Locky.
Atak na NHS — co się stało?
Ataki WannaCry nie były wymierzone w konkretne organizacje. Były one spekulacyjne; oprogramowanie szukało każdej okazji, aby zainfekować sieci ze znanymi lukami w zabezpieczeniach.
Chociaż atak WannaCry nie był bezpośrednio wymierzony w NHS, słabe zabezpieczenia i przestarzałe systemy ułatwiły jego przeprowadzenie. W brytyjskich szpitalach znajdowało się wiele komputerów z systemem Windows 7 bez zainstalowanych poprawek, więc duże fragmenty sieci były podatne na ataki w tym samym czasie, gdy ten wirus ransomware szybko rozprzestrzeniał się na całym świecie.
Złośliwe oprogramowanie WannaCry było w stanie nie tylko zainfekować lokalne sieci trustów, ale także rozprzestrzenić się w sieci N3, która łączy wszystkie placówki NHS. Atak nie był jednak w stanie rozprzestrzenić się przez system poczty elektronicznej NHS, co zapobiegło wykradzeniu jeszcze większej ilości danych dla okupu lub wykorzystaniu ich do phishingu.
Jak NHS zareagowała na atak?
Czy NHS zapłaciła okup po ataku WannaCry?
NHS England i National Crime Agency poinformowały, że organizacje NHS nie zapłaciły okupów. Choć Departament Zdrowia nie wie, ile zakłócenia w świadczeniu usług kosztowały NHS, niektóre szacunki mówią nawet o 92 mln GBP (116 mln USD).
Cyberatak został powstrzymany przez badacza bezpieczeństwa komputerowego Marcusa Hutchinsa — zidentyfikował on niezarejestrowaną domenę, pod kątem automatycznego sprawdzania której zostało zaprogramowane oprogramowanie ransomware. Rejestrując domenę, stworzył rozwiązanie na kształt wyłącznika awaryjnego. Brytyjska organizacja National Cyber Security Centre spędziła kolejne dni na zapobieganiu próbom zdjęcia domeny do czasu znalezienia metody odszyfrowania.
Jakie były konsekwencje ataku ransomware na NHS?
Co najmniej 80 z 236 trustów NHS w Wielkiej Brytanii zostało dotkniętych wirusem; taki sam los spotkał 603 organizacje podstawowej opieki zdrowotnej i inne organizacje NHS oraz 595 ogólnych praktyk lekarskich.
Cyberatak został powstrzymany przez badacza bezpieczeństwa komputerowego Marcusa Hutchinsa — zidentyfikował on niezarejestrowaną domenę, pod kątem automatycznego sprawdzania której zostało zaprogramowane oprogramowanie ransomware. Rejestrując domenę, stworzył rozwiązanie na kształt wyłącznika awaryjnego. Brytyjska organizacja National Cyber Security Centre spędziła kolejne dni na zapobieganiu próbom zdjęcia domeny do czasu znalezienia metody odszyfrowania.
Inne przykłady ataków ransomware na duże szpitale
Atak ransomware na NHS to nie jedyny głośny incydent dotyczący placówek medycznych. W lipcu 2019 roku Springhill Medical Center w Alabamie padło ofiarą ataku ransomware, w wyniku którego nastąpiła awaria sieci skutkująca wyłączeniem systemów monitorowania na oddziale porodowym. W rezultacie jedna z matek, Teiranni Kidd, wniosła pozew po tym, jak jej dziecko urodziło się z uszkodzeniem mózgu, a później zmarło w wyniku ataku, który zmienił sposób monitorowania jego stanu zdrowia. Tę sytuację uznaje się za pierwszą śmierć w wyniku ataku ransomware.
Ofiarą innego poważnego ataku ransomware w ostatnich latach padła we wrześniu 2020 roku organizacja United Health Services. Oprogramowanie ransomware o nazwie Ryuk na wiele dni wyłączyło jej sieć informatyczną, co spowodowało odwołanie wizyt, przeniesienie pacjentów do innych placówek i konieczność korzystania z dokumentacji papierowej. Przywracanie sieci trwało prawie miesiąc, a szacowany koszt działań naprawczych wyniósł 67 mln USD.
Niestety ataki ransomware na szpitale zdarzają się coraz częściej. Z jednego z raportów wynika, że w 2021 r. ataki na organizacje opieki zdrowotnej dotknęły 45 mln osób, co oznacza dramatyczny wzrost z 34 mln w 2020 r. W innym badaniu stwierdzono, że 81% organizacji opieki zdrowotnej w Wielkiej Brytanii padło ofiarą ataków ransomware w 2021 roku.
Jakie wnioski z tych sytuacji mogą wyciągnąć właściciele firm?
Departament Zdrowia został ostrzeżony o ryzyku cyberataków na NHS rok przed atakiem WannaCry i choć trwały prace nad wprowadzeniem zmian, było już za późno. Departament był wówczas krytykowany również za to, że pozwalał na korzystanie z systemów Windows tak starych jak Windows XP, który Microsoft przestał wspierać w 2014 roku.
Główny wniosek, jaki można wyciągnąć z tego głośnego ataku, brzmi następująco: należy priorytetowo traktować stosowanie najlepszych praktyk w zakresie cyberbezpieczeństwa i wdrożyć rozwiązanie do zarządzania poprawkami. Choć może to być trudne w wymagających środowiskach, działania te są niezbędne w celu zapobiegania powstawaniu luk w zabezpieczeniach, które hakerzy mogą wykorzystać do uzyskania dostępu do sieci i serwera firmy.
Równolegle należy stosować najlepsze praktyki cyberbezpieczeństwa, takie jak:
- utworzenie planu odzyskiwania danych po awarii IT,
- wdrożenie narzędzi chroniących przed ransomware,
- szkolenie personelu w zakresie unikania ataków phishingowych/socjotechnicznych,
- tworzenie bezpiecznych kopii zapasowych danych umożliwiających odzyskanie poufnych dokumentów.
Łącząc te elementy, można zmniejszyć ryzyko wystąpienia ataku, co pomaga zminimalizować czas przestoju i konieczność odzyskiwania danych. Jeśli Twoja firma padnie ofiarą ataku, pamiętaj, że wiele agencji bezpieczeństwa i rządowych stworzyło narzędzia deszyfrujące, które pomagają odzyskać dane skradzione przez niektóre rodzaje znanego oprogramowania ransomware.
Aby dowiedzieć się więcej o dużych atakach ransomware, koniecznie sprawdź nasze studia przypadków dotyczące ataków na miasta Atlanta i Baltimore.
Pozwól firmie Avast chronić Twoją firmę przed atakami ransomware
Kopie zapasowe i skuteczne zabezpieczenia są niezbędne do ochrony firmy przed atakami ransomware. Rozwiązania Avast w zakresie cyberbezpieczeństwa dla małych firm pozwolą Ci wybrać poziom ochrony, który najlepiej pasuje do wielkości i wymagań Twojej firmy, pomagając Ci chronić urządzenia przed ransomware i innymi rodzajami cyberataków.