100 румынских больниц остановились из-за атаки программы-вымогателя.

Власти Румынии сообщили, что после кибератаки с использованием вымогательского программного обеспечения платформа Hipocrate была отключена как минимум в 100 больницах. Власти подтвердили, что атака, затронувшая информационную систему Hipocrate (HIS), привела к нарушению работы как минимум 100 больниц.

Hipocrate Information System (HIS) представляет собой программный комплекс, предназначенный для управления медицинской и административной деятельностью больниц и других медицинских учреждений. Атака произошла 11 февраля и вызвала шифрование данных на производственных серверах.

"В ночь с 11 на 12 февраля 2024 года на производственные серверы, на которых работает информационная технология HIS, произошла масштабная кибератака вымогателями программного обеспечения. В результате атаки система отключилась, файлы и базы данных были зашифрованы", - сообщило министерство здравоохранения Румынии.

Изначально число затронутых больниц составляло 21, однако позднее власти подтвердили, что число увеличилось до 25. Еще 79 больниц отключили свои системы в качестве меры предосторожности. Министерство здравоохранения Румынии добавило, что специалисты по кибербезопасности, включая экспертов по кибербезопасности из Национальной дирекции по кибербезопасности, следят за ситуацией.

Румынское правительство также объявило чрезвычайные предупредительные меры, чтобы предотвратить попадание других больниц вплоть до того случая. DNSC сообщило, что злоумышленники, использующие вымогательское программное обеспечение, применили вариант семейства вымогателей Phobos, известного как Backmydata ransomware. Актеры угроз требуют выплаты 3,5 BTC (около 157 000 EURO).

"Больницам, использующим платформу HIPOCRATE, вне зависимости от того, были они затронуты или нет, с вчерашнего дня DNSC рекомендует ряд рекомендаций по правильному управлению ситуацией", - сообщает DNSC.

Выявите затронутые системы и немедленно изолируйте их от остальной сети и Интернета.

Не выключайте затронутое оборудование. Остановка его удалит доказательства, хранящиеся в летучей памяти (ОЗУ). Соберите и сохраните всю необходимую информацию из системных журналов не только из затронутого оборудования, но и из сетевого оборудования и брандмауэров. Изучите системные журналы, чтобы выявить механизм, посредством которого была компрометирована ИТ-инфраструктура.

Немедленно оповестите всех сотрудников и уведомите затронутых клиентов и деловых партнеров об инциденте и его масштабе. Восстановите затронутые системы на основе резервных копий данных после полной очистки системы. Абсолютно необходимо убедиться, что резервные копии не повреждены, актуальны и защищены от атаки. Убедитесь, что все программы, приложения и операционные системы обновлены до последних версий, и что все известные уязвимости исправлены.

В настоящее время неясно, украли ли хакеры конфиденциальные данные у затронутых организаций.