Zakres niedawnego incydent cybernetyczny w NHS Dumfries and Galloway, o której po raz pierwszy wyszło na jaw wcześniej w marcu 2024 r., może być o krok od rozszerzenia, aby objąć szerszą szkocką służbę zdrowia po tym, jak cyberprzestępcza operacja pod nazwą Inc Ransom twierdziła, że jest w posiadaniu trzech terabajtów skradzionych danych NHS Szkocja.
W ciemnym wpisie w Internecie firma Inc Ransom twierdziła, że ukradła dane ponad 140 000 pracowników klinicznych i pracowników zaplecza NHS w Szkocji i zagroziła, że „wkrótce” je opublikuje. Zgodnie ze standardową praktyką, jako dowód opublikował także szereg rzekomo skradzionych przedmiotów. Rozumie się, że ten mały zrzut danych obejmuje informacje wrażliwe, w tym raporty medyczne i listy do pacjentów.
NHS Dumfries i Gallowayktóra obsługuje społeczności w południowo-zachodniej Szkocji, po raz pierwszy przyznała, że 15 marca padła ofiarą „skoncentrowanego i ciągłego” cyberataku, i nawiązała wówczas współpracę z różnymi organami, w tym szkocką policją, rządem Szkocji i brytyjskim krajowym organem ds. bezpieczeństwa cybernetycznego Centrum (NCSC).
Stwierdziła wówczas, że mogą wystąpić pewne zakłócenia w świadczeniu usług pierwszej linii i zwróciła uwagę na ryzyko, że atakujący mogli ukraść wrażliwe dane.
W nowej aktualizacji NHS Dumfries i Galloway stwierdziły, że są świadome, że po ataku na systemy NHS opublikowano dane kliniczne dotyczące „niewielkiej liczby pacjentów”. „Bezwzględnie ubolewamy nad ujawnieniem poufnych danych pacjentów w ramach tego przestępstwa” – powiedział Jeff Ace, dyrektor generalny NHS Dumfries i Galloway. „Te informacje zostały ujawnione przez hakerów, aby udowodnić, że są w ich posiadaniu… Usługi skierowane do pacjentów nadal działają skutecznie i normalnie”.
Powiedział, że NHS Dumfries i Galloway skontaktują się z pacjentami, o których wiadomo, że wyciekły, i że trwają prace nad ograniczeniem ich udostępniania.
„NHS Dumfries and Galloway jest w pełni świadoma potencjalnego wpływu tej sytuacji na pacjentów, których dane zostały opublikowane, oraz ogólnego niepokoju, jaki może wywołać w naszej populacji pacjentów” – powiedział Ace.
Najbardziej atakowany sektor
Według Punkty kontrolne analizy zagrożeń opieka zdrowotna jest trzecią branżą najczęściej atakowaną przez cyberprzestępców w Wielkiej Brytanii – pomimo przechwałek wielu gangów zajmujących się oprogramowaniem ransomware, że nie atakują takich organizacji, co jest ewidentnym kłamstwem.
Stwierdzono, że biorąc pod uwagę, jak destrukcyjne mogą być cyberataki dla usług intensywnej terapii, udane naruszenia w NHS mają znacznie większe skutki niż w innych branżach, co oznacza, że różne elementy służby zdrowia muszą być maksymalnie skoncentrowane.
Deryck Mitchelson, globalny dyrektor ds. bezpieczeństwa informacji (CISO) firmy Check Point, który do 2022 r. był CISO w NHS Scotland, a także zasiada w szkockim Krajowa Rada Doradcza ds. Odporności Cybernetycznej (NCRAB) stwierdził: „Opieka zdrowotna to doskonały teren łowiecki dla cyberprzestępców. Ma ogromną powierzchnię ataku, na którą składa się wiele różnych starszych i nowszych technologii oraz polega na dużej sieci zewnętrznych dostawców. Skala i złożoność usług sprawia, że bardzo trudno jest wykryć naruszenie takie jak to, dopóki dane nie zostaną wydobyte lub zaszyfrowane i nie będzie to miało wpływu na usługi krytyczne.
„Potrzebna jest holistyczna strategia bezpieczeństwa cybernetycznego, która usunie złożoność, zmniejszając liczbę stosowanych produktów bezpieczeństwa i kontroli” – stwierdził. „Oprócz znacznych oszczędności kosztów zapewniłoby to lepszą widoczność w czasie rzeczywistym i warstwę zabezpieczeń zapobiegawczych, zmniejszając prawdopodobieństwo podobnego ataku. Obawiam się, że jeśli nie zaakceptujemy takiej zmiany, w dalszym ciągu będziemy świadkami poważnych zakłóceń w funkcjonowaniu naszych najbardziej krytycznych i wrażliwych usług.
Inc. okup
Inc Ransom jest jedną z szeregu pojawiających się operacji oprogramowania ransomware, które obecnie wydają się wypełniać pustkę pozostawioną po niedawnych działaniach organów ścigania przeciwko takim programom jak ALPHV/BlackCat i LockBit. Szkodnik pojawił się po raz pierwszy w lipcu 2023 r. i stosuje standardową praktykę podwójnego wymuszenia, chociaż na razie wydaje się stronić od modelu oprogramowania ransomware jako usługi. Jest to operacja skomplikowana technicznie i podobnie jak LockBit, entuzjastycznie wykorzystuje luki typu zero-day.
Inc Ransom zazwyczaj faworyzuje organizacje atakujące z sektorów opieki zdrowotnej i edukacji, wskazując jak dotąd 20 ofiar w 2024 r.
Badaczka i inżynier oprogramowania Check Point, Liad Dadash, stwierdziła, że twierdzenia grupy o ataku na NHS Scotland są warte zbadania.
„Zgodnie z doniesieniami cyberatak ujawniony publicznie przez Inc Ransom 26 marca jest powiązany z toczącym się dochodzeniem w NHS Dumfries and Galloway” – powiedział. „Wiemy, że wiele dokumentów posiadanych przez cyberprzestępców wydaje się pochodzić z tego samego regionu, co uwiarygodnia twierdzenia grupy zajmującej się oprogramowaniem ransomware”.