Utpressningstrojaner, NHS-sjukhus
Utpressningstrojaner hamnade i rampljuset år 2017 när WannaCry, en av de största internationella cyberattackerna dittills, slog till mot stora organisationer över hela världen. Ett av de mest välkända offren var NHS (National Health Service), den statliga sjukhusverksamheten i Storbritannien. I den här artikeln undersöker vi hur attacken mot NHS inträffade, vad följderna av attacken blev och vad du kan lära dig för att minska risken för attacker mot ditt företag.
När inträffade attacken på NHS?
Den 12 maj 2017 attackerades NHS i Storbritannien av utpressningstrojanen WannaCry. Denna storskaliga attack med utpressningstrojaner stängde i princip ner sjukhusen då kritiska system slutade fungera. Tusentals operationer ställdes in, och personalen kunde inte komma åt patientjournaler eller ens använda telefonerna.
NHS England har uppskattat att omkring en tredjedel av de 236 NHS-enheterna i England påverkades, och den resulterande dataläckan äventyrade personalens och patienternas integritet och hälsa.
Vad är WannaCry?
I maj 2017 blev WannaCry världens mest ökända typ av utpressningstrojan då den slog till mot 230 000 datorer över hela världen på bara en dag. WannaCry-attacken stoppades snabbt, men varianter av den ursprungliga WannaCry är fortfarande aktiva idag.
WannaCry, som är en s.k. mask, är särskilt svår att stoppa då den kan infektera enheter och förflytta sig mellan system automatiskt, vilket sätter många enheter på spel efter bara en enda infektion. WannaCry är bara en av flera ökända typer av utpressningstrojan. Andra exempel är Sodinokibi och Ryuk.
Vad är Eternalblue?
Attackmetoden som används för att utnyttja sårbarheten i operativsystemet Windows kallas Eternalblue, men den skapades inte av hackare. Den utvecklades faktiskt av amerikanska NSA (National Security Agency). Dessvärre stals Eternalblue av hackergruppen The Shadow Brokers och användes sedan för att skapa WannaCry. Microsoft släppte en korrigering snabbt, men alla Windows-datorer som inte har uppdaterats sedan den släpptes är fortfarande sårbara.
Eternalblue utnyttjar SMBv1, ett gammalt kommunikationsprotokoll för nätverk i Microsoft. Genom att helt enkelt skicka ett skadligt paket till målservern kan den skadliga koden sprida sig snabbt genom nätverket, vilket blir till ett betydande säkerhetshot på bara några ögonblick.
Andra typer av utpressningstrojan som använder liknande metoder inkluderar Petya (även den baserad på Eternalblue), Cerber och Locky.
NHS-attacken – vad hände?
WannaCry-attackerna riktades inte mot specifika organisationer. De var snarare spekulativa, dvs. de letade efter alla möjligheter att infektera nätverk med kända säkerhetssvagheter.
Även om NHS inte var den direkta måltavlan för WannaCry så gjorde deras undermåliga säkerhet och inaktuella system att de lätt kunde drabbas. På brittiska sjukhus användes många datorer med gamla versioner av Windows 7, vilket gjorde stora delar av nätverket sårbart samtidigt som denna utpressningstrojan spred sig över hela världen med väldig fart.
Utöver att kunna infektera lokala nätverk kunde WannaCry även sprida sig genom N3-nätverket, som kopplar ihop alla NHS-anläggningar. Det kunde däremot inte sprida sig via NHS e-postsystem, vilket förhindrade större mängder data från att användas för utpressning eller nätfiske.
Hur reagerade NHS på attacken?
Betalade NHS någon lösesumma till WannaCry?
NHS England och National Crime Agency rapporterade att NHS-enheterna inte betalade några lösesummor. Hälsodepartementet vet inte hur mycket störningarna i tjänster kostade NHS, men vissa uppskattningar går så högt som 92 miljoner brittiska pund (ca 1,1 miljarder kronor).
Cyberattacken stoppades av datorsäkerhetsforskaren Marcus Hutchins, som hittade en oregistrerad domän som utpressningstrojanen hade programmerats att kontrollera automatiskt. Genom att registrera domänen lyckades han skapa en dödsknapp. Storbritanniens National Cyber Security Centre ägnade de följande dagarna till att förhindra försök att ta ner domänen tills en dekrypteringsmetod hittades.
Vad blev följderna av attacken med utpressningstrojaner på NHS?
Åtminstone 80 av de 236 NHS-enheterna i Storbritannien påverkades av viruset, utöver 603 primärvårdsorganisationer och andra NHS-organisationer samt 595 allmänläkarmottagningar.
Cyberattacken stoppades av datorsäkerhetsforskaren Marcus Hutchins, som hittade en oregistrerad domän som utpressningstrojanen hade programmerats att kontrollera automatiskt. Genom att registrera domänen lyckades han skapa en dödsknapp. Storbritanniens National Cyber Security Centre ägnade de följande dagarna till att förhindra försök att ta ner domänen tills en dekrypteringsmetod hittades.
Andra exempel på attacker med utpressningstrojaner mot större sjukhus
Attacken mot NHS är inte den enda välkända incidenten som involverar sjukhusanläggningar. I juli 2019 drabbades Springhill Medical Center i Alabama av en attack med utpressningstrojaner, vilket ledde till ett nätverksavbrott som stängde ner övervakningssystemen på förlossningsavdelningen. Det ledde till att en av mödrarna, Teiranni Kidd, stämde sjukhuset efter att hennes barn föddes med hjärnskador och sedan dog till följd av attacken, som förändrade hur deras hälsa övervakades. Detta blev det första påstådda dödsfallet på grund av utpressningstrojaner.
En annan förödande attack på senare tid är attacken på United Health Services år 2020. Deras IT-nätverk stängdes ner i flera dagar av utpressningstrojanen Ryuk, vilket ledde till inställda bokningar, patienter som flyttades till andra anläggningar och ett beroende av pappersdokumentation. Det tog dem nästan ett år att återhämta sig, till en uppskattad kostnad av 67 miljoner dollar (ca 700 miljoner kronor).
Tyvärr blir attacker med utpressningstrojaner mot sjukhus allt vanligare. En rapport avslöjade att 45 miljoner personer påverkades av attacker mot sjukvården under 2021, en dramatisk ökning från 34 miljoner under 2020. En annan undersökning visade att 81 % av sjukhusorganisationer i Storbritannien drabbades av utpressningstrojaner under 2021.
Vad kan företagsägare lära sig?
Hälsodepartementet blev varnade om riskerna för cyberattacker på NHS ett år innan WannaCry-attacken, och även om arbete pågick för att göra förändringar så var det för sent. Departementet fick samtidigt kritik för att de tillät användning av Windows-system så gamla som Windows XP, som Microsoft slutade stödja år 2014.
Den huvudsakliga läxan att lära sig av denna välkända attack är att prioritera bästa praxis för cybersäkerhet och införa uppdateringshantering. Även om detta kan vara svårt i en krävande miljö så är det grundläggande för att förhindra sårbarheter som kan utnyttjas av hackare för att komma åt ditt företagsnätverk och din server.
Dessutom bör man följa bästa praxis för cybersäkerhet, som att:
- Skapa en katastrofåterställningsplan för IT
- Införa skyddsverktyg mot utpressningstrojaner
- Utbilda personal att undvika attacker med nätfiske/social manipulation
- Skapa säkra säkerhetskopior av data så att känsliga dokument kan återställas
Genom att kombinera dessa element kan du minska risken för att bli attackerad, vilket bidrar till att minimera driftsavbrott och återställning. Om ditt företag skulle drabbas av en attack ska du ha i åtanke att många säkerhets- och myndighetsbyråer har skapat dekrypteringsverktyg för att hjälpa till med att återställa data som stulits av vissa typer av kända utpressningstrojaner.
För att lära dig mer om stora attacker med utpressningstrojaner kan du kolla in våra fallstudier om attackerna på städerna Atlanta och Baltimore.
Låt Avast skydda ditt företag mot attacker med utpressningstrojaner
Säkerhetskopieringar och effektiv säkerhetsimplementation är grundläggande för att skydda ditt företag mot attacker med utpressningstrojaner. Med Avasts cybersäkerhetslösningar för småföretag kan du välja den nivå av skydd som bäst passar ditt företags storlek och krav och få skydd för dina enheter mot utpressningstrojaner och andra typer av cyberattacker.