Patru spitale din România sunt infectate cu ransomware. Cât de gravă e situația și ce este de făcut

de: Florin Cașotă
20 06. 2019

Spitalele din România au fost lovite de un val de atacuri cibernetice cu ransomware, iar patru spitale au căzut pradă: unul din București și trei din provincie.

Seviciul Român de Informații precizează că patru spitale sunt afectate de ransomware-ul BadRabbit. Acestea sunt Victor Babeș din București și spitalele din Huși, Dorohoi și Cărbunești.

”Din datele pe care le detinem pana acum, urmare a semnalarilor primite de CERT RO la nr special 1911 si transmise mai departe catre Centrul National Cyberint am constatat ca sunt afectate de ransomware ul BadRabbit 4 spitale: Victor Babes – Bucuresti, Husi, Dorohoi si Carbunesti. O echipa a CNC a plecat la Victor Babes pentru a analiza situatia si a ridica artefactele care ne permit sa intelegem cum are loc infectia si ce masuri trebuie luate pentru a o opri. Din analizele preliminare efectuate reise faptul ca pentru oprirea infectiei este suficienta intalarea oricarui produs antivirus recunoscut in domeniu. Cel mai probabil infectia se bazeaza pe inginerie sociala (pacalirea utilizatorului) si nu pe exploatarea unei vulnerabilitati (slabiciuni) a sistemului. Ransomwareul nu este de mare complexitate, fiind detectabil de care orice produs antivirus clasic.”, se arată în comunicatul SRI.

„Spitalele și instituțiile din domeniul sănătății sunt printre țintele cele mai vulnerabile din cauza specificului muncii, a suprafeței mari de atac, precum și a lipsei de capacități de monitorizare în ceea ce privește securitatea IT. Prin restricționarea accesului la fișele pacienților, spitalele nu mai pot opera la capacitate normală, cu toate consecințele ce decurg din aceasta: rănire gravă, malpraxis sau chiar pierdere de vieți omenești. Pentru a evita acest lucru, instituțiile din domeniul sănătății sunt mult mai dispuse să plătească răscumpărarea în termen extrem de scurt.”, a declarat Bogdan Botezatu, director de cercetare în amenințări informatice la Bitdefender pentru PLAYTECH.

Un alt element care fac spitalele vulnerabile la astfel de atacuri ransomware este faptul că „Foarte multe dispozitive medicale rulează sisteme de operare învechite și neactualizate, precum Windows XP sau – în cele mai fericite cazuri, Windows 7.”

„Atacul asupra spitalelor din România face parte dintr-o tendință îngrijorătoare la nivel global – au mai fost cazuri similare în țări ca SUA sau Germania. Până în acest moment, nu știm exact ce ransomware a cauzat atacul din România. Conform unei ipoteze a SRI, este vorba de BadRabbit”, a declarat un reprezentant Kaspersky România pentru PLAYTECH.

Cum au fost afectate spitalele de virusul ransomware

”Am solicitat Direcțiilor de Sănătate din țară să ne transmită date despre spitalele care sunt afectate. Incidente au mai existat, spitale care și-au pierdut datele și care au fost recuperate de specialiști sau contracost. Aceste atacuri îngreunează foarte mult activitatea medicală, se fac internări cu greutate. Dacă se pierd date referitoare la pacienți, date referitoare la salarizare, acestea trebuie recuperate pentru că altfel există mari probleme”, a declarat Pintea într-o conferință de presă.

Ea a precizat că nu există pericolul ca personalul medical să nu își primească salariile din cauza atacurilor informatice, subliniind că plățile se pot face și de mână, dar că volumul de muncă ar fi unul uriaș.

„Atacurile asupra spitalelor sunt extrem de grave deoarece pun în pericol viața și sănătatea pacienților. Chiar și în comunitățile dezvoltatorilor de ransomware, atacurile asupra acestor instituții sunt privite cu îngrijorare din cauza impactului pe care îl pot avea asupra pacienților”, mai spune Bogdan Botezatu.

Ransomware-ul BadRabbit a mai apărut în presă după ce a făcut mai multe victime în octombrie 2017. Atunci au căzut pradă atacului victime din Rusia, Ucraina, Turcia și Germania.

În multe cazuri de ransomware, succesul acestora se bazează pe 4 mari tipuri de probleme:

  • nu pe toate sistemele din rețea rulează un antivirus
  • sistemele de operare sunt vechi și neactualizate
  • parolele folosite de administrator și utilizatori sunt slabe
  • utilizatorii deschid fișiere anexate la e-mail fără să verifice sursa lor

Ce este de făcut în astfel de situații?

„Principala armă împotriva atacurilor cu ransomware rămâne prevenția. Instalarea de soluții de securitate pe infrastructura care suportă acest lucru și actualizările de securitate pentru sistemele de operare sunt principalele arme împotriva ransomware. Crearea de copii de siguranță a datelor e încă un pas necesar pentru asigurarea disponibilității datelor în cazul unui incident. În egală măsură, pentru dispozitivele care nu pot fi actualizate (fie pentru că rulează sisteme de operare vechi, fie pentru că integratorul de echipamente medicale nu a pornit procesul de mentenanță), se recomandă ca acestea să fie izolate într-o rețea proprie”, explică directorul de cercetare în amenințări informatice de la Bitdefender