Cyberataki na placówki zdrowia. Rząd publikuje zalecenia

W okresie jednego tygodnia hakerzy zaatakowali dwie duże placówki zdrowia – najpierw Szpital Wojewódzki w Szczecinie, a potem Bonifraterskie Centrum Medyczne. Są podejrzenia, że chodzi o tę samą grupę przestępczą. W reakcji na nie Pełnomocnik Rządu ds. Cyberbezpieczeństwa opublikował komunikat z zestawem zaleceń dla podmiotów krajowego systemu cyberbezpieczeństwa, ze szczególnym uwzględnieniem ochrony zdrowia.

Ataki bardziej ukierunkowane i powtarzalne

Jak wskazano w komunikacie, ostatnie cyberataki charakteryzują się podobnymi taktykami, technikami i procedurami. Oznacza to, że mamy do czynienia nie z incydentalnymi zdarzeniami, ale z systematyczną i dobrze zorganizowaną działalnością. Szczególnym celem są podmioty przetwarzające wrażliwe dane i zapewniające ciągłość działania, czyli m.in. szpitale i placówki medyczne.

Eksperci zwracają uwagę, że ataki mogą prowadzić nie tylko do kradzieży danych, ale również do ich zaszyfrowania w ramach ransomware, co bezpośrednio zagraża funkcjonowaniu systemu ochrony zdrowia. W przypadku ataku na szczeciński szpital hakerzy dodatkowo żądali kilku milionów dolarów okupu za odblokowanie systemu.

Wskaźniki kompromitacji jako pierwszy krok

Najważniejszym elementem komunikatu jest publikacja tzw. wskaźników kompromitacji (IoCs), które umożliwiają organizacjom sprawdzenie, czy ich infrastruktura nie została już naruszona. To podejście oznacza przesunięcie z reakcji na incydent w stronę proaktywnego wykrywania zagrożeń.

Zalecenie jest jednoznaczne: podmioty powinny przeanalizować swoje systemy pod kątem wskazanych adresów IP, narzędzi i sygnatur malware, aby jak najszybciej wykryć potencjalną obecność atakujących.

Połączenia do VPN:
170.62.100[.]118
178.238.10[.]243
208.131.130[.]107
23.234.113[.]182
23.234.117[.]55
62.164.177[.]19
66.235.168[.]200
66.235.168[.]21
66.235.168[.]213
66.235.168[.]216
89.238.165[.]238
89.38.227[.]190
45.227.254[.]50

Eksfiltracja do s3:
16.1.15[.]2

Potencjalnie powiązane detekcje malware:
SHA256 3ac9c4bb817b07f51c608e7477a7057f3ed154c291f8d942b9189aad4f05d745
SHA256 b4708e9b2c941cd87bd09037fa15c8f7f3f40c3aea9c1f25711c6c079043b37b

Użyte narzędzia:
rclone
nmap
Advanced IP Scanner
Net Scan (netscan.exe)

Cyberhigiena zamiast punktowych działań

Opublikowane zalecenia mają charakter kompleksowy i obejmują cały ekosystem IT organizacji. Wśród rekomendacji znalazły się m.in.:

• pełna aktualizacja systemów i urządzeń brzegowych
• ograniczenie dostępu zdalnego i wdrożenie uwierzytelniania wieloskładnikowego
• ścisła kontrola uprawnień i kont administracyjnych
• monitorowanie anomalii logowań i aktywności użytkowników
• wdrożenie systemów klasy SIEM oraz EDR/XDR
• izolacja i regularne testowanie kopii zapasowych

Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa szczególną uwagę zwraca na eliminację podstawowych błędów, takich jak dostęp RDP z internetu czy brak kontroli nad kontami uprzywilejowanymi.

Backup i monitoring jako linia obrony

Jednym z wniosków z komunikatu jest rola kopii zapasowych i monitoringu. To właśnie brak reakcji na alerty bezpieczeństwa oraz niewłaściwa konfiguracja backupów są wskazywane jako najczęstsze przyczyny skutecznych ataków ransomware .

Zalecenia wyraźnie wskazują na konieczność:

• fizycznej i logicznej separacji systemów backupowych
• stosowania mechanizmów uniemożliwiających ich nadpisanie
• regularnego testowania odtwarzania danych

Placówki ochrony zdrowia powinny natychmiast sprawdzić swoją infrastrukturę pod kątem wskaźników kompromitacji i wdrożyć podstawowe zabezpieczenia, które najczęściej decydują o powodzeniu ataku: zamknąć publiczny dostęp RDP, wymusić MFA dla VPN, ograniczyć uprawnienia administratorów, przeprowadzić audyt kont i usunąć nieużywane, uruchomić codzienny monitoring logów bezpieczeństwa oraz zweryfikować kopie zapasowe – ich izolację, odporność na usunięcie i możliwość odtworzenia danych.

POBIERZ: Komunikat Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa z zaleceniami dla podmiotów KSC, ze szczególnym uwzględnieniem sektora ochrony zdrowia