N. Dumitrescu
Au apărut noi informații în legătură cu atacul hakerilor ce a avut loc, zilele trecute, asupra a zeci de spitale din România, dintre care două sunt și din Prahova – respectiv Spitalul orășenesc Băicoi și Spitalul de Ortopedie și Traumatologie Azuga. Ministrul Sănătăţii, Alexandru Rafila, a declarat joi la Parlament că, în total, la nivel național, au fost atacate cibernetic 26 de unităţi medicale, 24 de stat şi două private, iar cele mai multe dintre acestea şi-au reluat activitatea. Printre ele se regăsește și Spitalul de Ortopedie și Traumatologie Azuga, informația fiindu-ne confirmată, joi, de directorul financiar al spitalului, Magdalena Copăceanu Turcu, care ne-a declarat că, timp de câteva zile, începând din data de 12 februarie a.c., din cauza faptului că sistemul informatic a fost blocat, nu au mai putut fi validate serviciile medicale, prin intermediul cardului de sănătate, acordate pacienților care s-au prezentat în Ambulatoriul de specialitate. De regulă, zilnic, în regim ambulatoriu și pentru spitalizare de zi, la spitalul menționat se prezintă peste 100 de pacienți, interlocutoarea noastră precizându-ne că, și în ultimele zile, când activitatea instituției sanitare a fost afectată de atacul cibernetic, pacienții au beneficiat de consultațiile sau serviciile medicale solicitate. De precizat că, joi, am încercat să luăm legătura și cu conducerea Spitalului orășenesc Băicoi, dar, deși am insistat, de la capătul firului telefonic nu ne-a răspuns nimeni. De adăugat faptul că Directoratul Național de Securitate Cibernetică (DNSC) a venit, tot joi, cu noi detalii despre atacul cibernetic în cazul spitalelor din țară care foloseau aplicația Hipocrate și a căror activitate zilnică a fost afectată. ”În cursul nopții de 11 spre 12 februarie 2024 a avut loc un atac cibernetic de tip ransomware asupra companiei Romanian Soft Company (RSC) www.rsc.ro care dezvoltă, administrează și comercializează sistemul informatic Hipocrate (alias HIS). Conform datelor DNSC, atacul a perturbat activitatea a 26 spitale din România care utilizează sistemul informatic Hipocrate. Malware-ul utilizat în cadrul atacului este aplicația ransomware Backmydata care face parte din familia de malware Phobos, cunoscută pentru propagarea prin conexiuni de tip Remote Desktop Protocol. Backmydata este conceput pentru a cripta fișierele țintei vizate utilizând un algoritm complex. Fișierele criptate sunt redenumite cu extensia .backmydata. După criptare, malware-ul furnizează două note de răscumpărare (info.hta și info.txt) cu detalii despre pașii ce trebuie urmați pentru contactarea atacatorilor și stabilirea detaliilor pentru plata răscumpărării. Familia de ransomware Phobos a evoluat din ransomware-ul Dharma/Crysis și de când a fost observat prima dată, în 2019, a suferit modificări minime în ciuda popularității sale în rândul grupurilor de atacatori cibernetici. Phobos este un Ransomware-as-a-Service (RaaS), unde dezvoltatorii și afiliații nu sunt strâns legați, dar colaborează pentru a distribui malware-ul pe scară largă, vizând diverse organizații și indivizi. Phobos este remarcat pentru tehnicile sale de evaziune și utilizarea de mecanisme simple dar eficace pentru atingerea obiectivelor operaționale. Structura sa descentralizată complică eforturile de a contracara operațiunile sale și de a identifica atacatorii. Variantele comune de Phobos (precum Eking, Eight, Elbie, Devos și Faust) demonstrează adaptabilitatea și diversitatea acestei familii de ransomware. Afiliații folosesc Tactici, Tehnici și Proceduri similare pentru a implementa Phobos, ce vizează în mod obișnuit infectarea serverelor cu rol important în infrastructurile țintă pentru a exercita presiune asupra victimelor să plătească răscumpărarea. În România, sectorul sănătății a mai fost vizat în 2019 și 2021 de atacuri cibernetice complexe motivate financiar, care au implicat utilizarea malware-ului Phobos[2]. Nu există până acum niciun indiciu referitor la exfiltrarea (extragerea, descărcarea) datelor de către atacatori în acest caz”, se arată în comunicatul DNSC. De adăugat faptul că, în acest caz există și o cerere de răscumpărare de 3,5 BTC – aproximativ 157.000 Euro – dar în mesajul atacatorilor nu se specifică și un nume de grupare care revendică acest atac, ci doar o adresă de e-mail. În acest context, conducerea instituției a recomandat ”cu fermitate” ca nimeni să nu plătească răscumpărarea către atacatori, întrucât, cităm, plata răscumpărării nu garantează că datele vor fi recuperate. Pe de altă parte, s-a mai precizat că, în rezolvarea acestei situații, compania românească de securitate Bitdefender a contactat Directoratul Național de Securitate Cibernetică pentru a oferi gratuit soluții de securitate pentru a ajuta sistemul sanitar și buna desfășurare a actului medical în contextul acestui atac cibernetic, care a afectat activitatea din zeci de spitale din România.