Do głośnego ataku na Klinikę Uniwersytecką w Duesseldorfie doszło za sprawą luki w systemie informatycznym, którą bezwzględnie wykorzystali hakerzy, szyfrując część serwerów. W ten sposób nie tylko zaszyfrowano dokumentację, ale wyłączono placówkę z systemu ratunkowego, co sprawiło, że karetki pogotowia zamiast do Duesseldorfu były kierowane do innych miast. W jednej z takich karetek znajdowała się kobieta w stanie krytycznym. Z powodu wydarzenia kobietę odesłano do szpitala w Wuppertalu, oddalonego o 32 kilometry od Duesseldorfu. Niestety, pacjentka zmarła w drodze.
Atak na niemiecką klinikę nie jest jednak odosobnionym przypadkiem. W 2017 r. dziesiątki brytyjskich szpitali zostało dotkniętych oprogramowaniem ransomware znanym jako WannaCry, co spowodowało tysiące odwołanych wizyt i zamknięcie niektórych oddziałów ratunkowych. W Stanach Zjednoczonych od 2016 roku ponad 1000 organizacji opieki zdrowotnej zostało zaatakowanych przez oprogramowanie ransomware, a łączny koszt ataków przekroczył 157 milionów dolarów - przytaczają dane eksperci z firmy Check Point. Ostatni taki incydent miał miejsce w drugiej połowie września br., kiedy to sieć opieki zdrowotnej – Universal Health Services, zrzeszająca ponad 400 placówek w Stanach Zjednoczonych, Portoryko i Wielkiej Brytanii, zaatakowana została przez ransomware Ryuk. Tym razem do tragedii nie doszło, a UHS natychmiastowo poinformowało, że opieka nad pacjentami jest zapewniana w sposób bezpieczny i skuteczny. Jednocześnie sieć zapewnia, że żadne dane pacjentów ani pracowników nie zostały przejęte przez hakerów.
Budzik na celowniku
W grudniu 2019 roku do ataku ransomware doszło również w Polsce. Ofiarą była Klinika "Budzik", działającą przy warszawskim Centrum Zdrowia Dziecka, specjalizująca się w rehabilitacji dzieci po ciężkich urazach mózgu. Hakerzy zaatakowali w klasyczny sposób: zaczynając od działań phishingowych, czyli podszywając się pod rozpoznawalną osobę lub instytucję. Tydzień przed atakiem przychodziły do nas maile od znanych i szacownych instytucji, pisane w stylu "Faktura, której państwo nie zapłacili. Otwórz link" – komentował sytuację dr Maciej Piróg, dyrektor Klinki Budzik.
Wspomniane wiadomości były jedynie wabikiem na nieświadomych użytkowników, by pobrać zainfekowane złośliwym oprogramowaniem pliki. W efekcie, po kliknięciu jednej z nich, systemy komputerowe kliniki zostały zaszyfrowane, uniemożliwiając dalszą pracę placówki. Jak relacjonuje dyrektor Kliniki, chwilę później otrzymano wiadomość e-mail z Hiszpanii, w którym przestępcy zaoferowali odblokowanie systemów za równowartość 30 tys. zł.
Po zaszyfrowaniu komputerów największą obawą personelu był brak możliwości wysłania sprawozdania z działalności Kliniki do Narodowego Funduszu Zdrowia, co wiązało się z brakiem wypłaty środków, które są jedynym źródłem utrzymania Kliniki Budzik. Ciągłość działania kliniki stała więc pod znakiem zapytania…
Na szczęście znaczna część zasobów znajdujących się na serwerach posiadała kopię zapasową, która zdaniem specjalistów z firmy Check Point jest jednym z najważniejszych sposobów zabezpieczania danych przed atakami ransomware. Pozostałe dane udało się ostatecznie odszyfrować, bez uiszczania kosztownego okupu. Zdaniem przedstawicieli Kliniki udało się uniknąć wymiernych strat, choć placówka jeszcze przez wiele tygodni borykała się z utrudnieniami związanymi z atakiem.
Za atakami może stać… każdy
Choć e-mail z żądaniem okupu pochodził z Hiszpanii, nie udało się jednoznacznie ustalić skąd pochodził atak. Możliwe, że hiszpańska skrzynka pocztowa była jedynie przykrywką cyberprzestępców. Atakującym mógł być prawie każdy za sprawą rosnącego rynku ransomware-as-a-service.
Do niedawna ransomware-as-a-service był nieznanym zjawiskiem wśród działań cyberprzestępców. Niewiele wiedziano na temat działania tego specyficznego systemu franczyzowego, co utrudniało efektywne śledzenie przestępców. Z badań Check Pointa wiemy jednak, że twórca takiej "usługi" zazwyczaj rekrutuje partnerów, którzy dystrybuują oprogramowanie w zamian za udział w zyskach. Taka taktyka pozwala na szersze rozpowszechnienie ransomware i generowanie wyższych zysków. Co ważne, obecna sytuacja pozwala nawet osobom nietechnicznym prowadzić wysokodochodowy „biznes”, uruchamiając niezależne kampanie za pomocą przypisanego zestawu serwerów C&C (Command&Control) i kompleksowego panelu sterowania.
Ransomware jako usługa również staje się coraz bardziej powszechnym rozwiązaniem, więc nawet niedoświadczeni hakerzy mogą przeprowadzić taki ataki - mówi Wojciech Głażewski, szef polskiego oddziału firmy Check Point.