Počet ransomwarových útoků na zdravotnická zařízení prudce stoupá

Navíc během svátků je v nemocnicích obvykle nedostatek personálu, včetně IT specialistů, takže je pravděpodobnější, že kybernetické hrozby nebudou odhalené a prodlouží se doba případné reakce.

Řada zaměstnanců pracuje během svátků na dálku, což ještě zvyšuje riziko úspěšného phishingového útoku, který může být počáteční fází ransomwarového útoku.

Podle Check Pointu v uplynulém roce čelila jedna zdravotnická organizace v průměru 1462 kybernetickým útokům týdně, což je o 74 % více než v roce 2021 a jedná se o nejvyšší nárůst ze všech sledovaných odvětví. Jak atraktivním terčem je zdravotnictví, vypovídá i fakt, že se jedná o 3. nejčastěji napadaný sektor.

S koncem roku vidíme v této oblasti i alarmující nárůst ransomwarových útoků. Zatímco během prázdnin a září byla ransomwarem zasažena zhruba každá 50. zdravotnická organizace, od října vidíme postupný nárůst útoků, přičemž hlavní zlom nastal na začátku prosince, kdy počet ransomwarových útoků vystřelil a ve druhé půlce prosince byla terčem ransomwaru už každá 13. zdravotnická společnost.

Podobně je vidět také nárůst zlodějských útoků, jejichž cílem jsou krádeže informací. Od konce října je těchto útoků ve zdravotnictví nadprůměrné množství a je pravděpodobné, že oba trendy spolu mohou souviset.

Množství potenciálně zranitelných míst přibývá i s nárůstem IoT, respektive IoMT (Internet of Medical Things) zařízení – třeba lze napadnout a zablokovat například ultrazvuk nebo že organizaci napadnout pomocí chytrých žárovek.

Některé hrozby mohou v napadených systémech číhat týdny i měsíce, nepozorovaně krást data a čekat na správnou chvíli k útoku. O řadě napadení se tak dozvíme až dlouho poté, co útok ve skutečnosti začal.

Že vám na displeji nesvítí žádost o výkupné a nemáte zablokované počítače, ještě neznamená, že už dávno nečelíte útoku. I proto se zvyšuje naléhavost tohoto varování.

Jak bezohledně a systematicky kyberzločin postupuje, ukázala i koronavirová pandemie, kdy útočníci využili chaotické situace a opakovaně napadali nemocniční sítě v době, kdy byla zdravotnická zařízení nejméně schopná reagovat.

„Kybernetické útoky na nemocnice, elektrické sítě, plynovody, čističky vody, dopravní systémy a další zařízení kritické infrastruktury mohou přímo ohrozit lidské životy a podle toho by k nim mělo být přistupováno,“ říká Miloslav Lujka, tuzemský Country Manager Check Pointu.

Podle něj je potřeba si také uvědomit, že útokům nemusí čelit jen nemocnice, aby došlo k panice a ochromení zdravotnického sektoru a celé společnosti. Hrozba se totiž vznáší nad celým dodavatelským řetězcem.

Pokud kyberzločinci zasáhnou například výrobce léčiv, navíc v situaci, kdy už tak máme nedostatek léků a zejména antibiotik, spustí to lavinu tragédií. Zdravotnický systém je zranitelný více než kdykoli dříve.

Ačkoli je těžké určit, jaký přesně dopad mají kybernetické útoky na zdravotní stav pacientů, protože to ovlivňuje celá řada faktorů a komplikace nebo i úmrtí mohou následovat týdny nebo měsíce po útoku, z níže uvedených příkladů je zřejmé, že před sebou máme obrovský problém, na který je potřeba reagovat.

Příklady úspěšných ataků

Ransomwarové útoky se bohužel nevyhýbají ani českým nemocnicím, jak se ostatně ukázalo například při útocích na nemocnice v Benešově nebo Brně.

FBI koncem loňského roku varovala před ransomwarem Hive, který aktivně napadá zdravotnické systémy. Hive byl poprvé objeven v červnu 2021 a při útocích šifruje soubory a narušuje zálohovací procesy. Pokud nedojde k zaplacení výkupného, útočníci navíc vyhrožují zveřejněním ukradených informací na webu HiveLeaks.

Některým obětem útočníci také telefonovali, aby hrozbu ještě stupňovali. Jedná se bohužel o stále častější taktiku, kdy kromě zašifrování dat jsou ukradeny citlivé informace, které mohou být zveřejněné nebo použité k dalším útokům.

Hive byl použit například v říjnu při útoku na nemocnici Lake Charles Memorial v Louisianě. Sice se podařilo zabránit zašifrování systémů, ale hackeři se dostali k osobním údajům téměř 270 000 pacientů. FBI a další federální agentury upozorňují, že kyberzločinci jen pomocí ransomwaru Hive vylákali z více než 1 300 společností po celém světě za pouhý rok a půl přes 100 milionů dolarů, v mnoha případech se jednalo právě o zdravotnické organizace.

Americké ministerstvo zdravotnictví a sociálních služeb varovalo také před útoky ransomwaru Royal, který v listopadu vyřadil z provozu nejpopulárnější anglický závodní okruh Silverstone, a je přímou hrozbu pro zdravotnické organizace.

Nedávno musela francouzská nemocnice na předměstí Versailles po ransomwarovém útoku rušit operace a převážet pacienty.

Nemocnice André-Mignot v Chesnay-Rocquencourt byla zasažena kybernetickým útokem, který zablokoval počítače a šest pacientů v důsledku toho bylo nutné převézt z oddělení intenzivní péče a novorozeneckého oddělení do okolních nemocnic. Vyžádalo to také posílení personálu, protože funkce několika kritických přístrojů se nepodařilo plně obnovit.

V září čelila rozsáhlému útoku jiná francouzská nemocnice Centre Hospitalier Sud Francilien, kterou paralyzovala skupina LockBit 3.0. Výkupné žádala ve výši 10 milionů dolarů.

O několik měsíců dříve skupina nemocnic GHT Cœur Grand Est uvedla, že byla nucena přerušit internetové připojení nemocnic Vitry-le-François a Saint-Dizier poté, co obdržela požadavek na výkupné ve výši 1,3 milionu dolarů. V obou případě hackeři splnili své výhružky a zveřejnili na internetu citlivé informace o pacientech.

Na zdravotnictví se zaměřuje i hackerská skupina Daixin Team, která k útokům používá ransomware vytvořený pomocí zdrojového kódu ransomwaru Babuk Locker. Daixin Team šifruje zdravotní záznamy, diagnostická data a přístup k intranetovým službám a krade osobní údaje a zdravotní informace pacientů. Při žádosti o výkupné hrozí zveřejněním těchto dat.

SickKids, jedna z největších kanadských dětských nemocnic, uvedla, že po ransomwarovém útoky ji plné obnovení počítačových systémů zabere několik týdnů, což bude mít dopad na léčbu některých pacientů.

Na konci října zastavil ransomwarový útok provoz nemocnice v japonské Ósace, která musela pozastavit běžné lékařské služby, jelikož byl vyřazen z provozu systém pro práci s elektronickými lékařskými záznamy.

Podobně koncem listopadu byly napadené počítačové sítě tří nemocnic v newyorském Brooklynu, které musely po kybernetickém útoku přejít na práci s papírovými zdravotnickými kartami pacientů.

Americký zdravotnický gigant CommonSpirit Health, který spravuje 700 pracovišť a 142 nemocnic ve 21 státech, informoval na začátku prosince, že v září a říjnu došlo k úniku dat o více než 620 000 pacientech, včetně elektronických lékařských záznamů.

Listopadový útok na jiné tři nemocnice v New Yorku zase přinutil lékaře přejít na papírové karty, což výrazně zpomalilo poskytovanou péči.

Řadu vyděračských útoků na nemocnice má na svědomí i nechvalně známá ruská kyberzločinecká skupina Conti.

A o mnoha dalších útocích zatím ani nevíme. Nejedná se tedy o nějaké útoky, ale o organizovanou snahu řady profesionálních gangů útočit přímo na zdravotnictví, čemuž odpovídá i vývoj nových hrozeb.

A zaplacení výkupného může navíc kyberzločince povzbudit k dalším útokům. Zaplacení výkupného také nezaručuje, že soubory budou obnoveny a návrat k normálu může trvat týdny i měsíce.

Na kritickou situaci se snaží reagovat i některé vlády. Například australská vláda zvažuje novou legislativu, která by znemožnila placení výkupného, což by mohlo změnit kybernetickou strategii řady organizací.

Bezpečnostní tipy pro zdravotnické organizace:

1. Pozor na trojské koně – Ransomwarové útoky většinou nezačínají přímo ransomwarem. Ryuk a další typy ransomwaru využívají v počáteční fázi trojské koně. K infekci trojanem dochází dny nebo týdny před ransomwarovým útokem, proto by bezpečnostní týmy měly hledat v sítích infekce Trickbotem, Emotetem, Dridexem nebo Cobalt Strikem a odstranit je dřív, než mohou přichystat půdu pro ransomware.
2. Zbystřete o víkendech a svátcích – Většina ransomwarových útoků probíhá o víkendech a svátcích. Hackeři se snaží zaměřovat na dobu, kdy bude pravděpodobnější, že IT a bezpečnostní týmy nebudou v plné pohotovosti a reakce na hrozbu bude pomalější.
3. Používejte anti-ransomware – Ransomwarové útoky jsou sofistikované, ale anti‑ransomwarové řešení napraví případné škody a vrátí vše do normálu během několika málo minut. Ochrana proti ransomwaru hlídá, jestli nedochází k nějakým neobvyklým aktivitám, jako je otevírání a šifrování velkého počtu souborů. Pokud anti-ransomware zachytí jakékoli podezřelé chování, může okamžitě reagovat a zabránit masivním škodám.
4. Zálohování a archivace dat je základ - Cílem ransomwaru je donutit oběť zaplatit výkupné, aby získala zpět přístup k zašifrovaným datům. To je však účinné pouze v případě, že cíl skutečně přístup ke svým datům ztratí. Pokud se něco pokazí, vaše data by mělo být možné snadno a rychle obnovit. Je proto nutné důsledně zálohovat, včetně automatického zálohování i na zařízeních zaměstnanců a nespoléhat se, že si na zapnutí zálohy sami vzpomenou.
5. Omezte přístup jen na nutné informace a segmentujte – Chcete-li minimalizovat dopad případného úspěšného útoku, pak je důležité zajistit, aby uživatelé měli přístup pouze k informacím a zdrojům, které nutně potřebují pro svou práci. Segmentace sítě minimalizuje riziko, že se ransomware bude nekontrolovatelně šířit napříč celou organizací. Řešit následky ransomwarového útoku na jednom systému může být složité, ale napravovat škody po útoku na celou síť je podstatně náročnější.
6. Vzdělávání je nezbytnou součástí ochrany – Zaměstnanci by měli umět poznat potenciální hrozby. Mnoho kybernetických útoků totiž začíná cíleným phishingem, který sice neobsahuje malware, ale s pomocí sociálního inženýrství se snaží uživatele nalákat ke kliknutí na škodlivý odkaz nebo k poskytnutí citlivých informací. Vzdělávání uživatelů je proto jednou z nejdůležitějších součástí ochrany.
7. Pravidelně instalujte aktualizace a záplaty – WannaCry v květnu 2017 zasáhl tvrdě organizace po celém světě a během tří dnů infikoval přes 200 000 počítačů. Přitom už měsíc před útokem byla k dispozici záplata pro zneužívanou zranitelnost EternalBlue. Aktualizace a záplaty instalujte okamžitě a automaticky. Záplatujte a aktualizujte staré verze softwaru a systémů. V nemocnicích to ale v mnoha případech z různých důvodů nelze. Proto doporučujeme používat systém prevence narušení (IPS – Intrusion Prevention System) s možností virtuálních oprav, aby se zabránilo pokusům o zneužití slabých míst ve zranitelných systémech nebo aplikacích. Aktualizovaný IPS pomáhá organizacím zůstat v bezpečí.
8. Vše zabezpečte – Nic nepodceňte, počítače, servery, mobilní zařízení, ale i chytré žárovky nebo libovolné jiné IoT či IoMT zařízení mohou být pro hackery vstupním bodem a branou do vaší organizace.