V posledních letech jsou nemocnice čím dál častějším cílem útoku kyberzločinců. Proč tomu tak je?
Zabezpečení sítí zdravotnických zařízení obvykle nebývá na prvním místě, často je podfinancované a chybí kvalifikovaní lidé, kteří by se o techniku starali. I proto jsme v poslední době byli svědky hned několika velkých útoků na nemocnice a veřejnou správu. V těchto institucích zpravidla kvalita zabezpečení ICT zaostává za komerčním sektorem, jelikož vyžaduje nasazení potřebných technických řešení, jejich potřebnou konfiguraci, monitorování a správné použití, aby byla skutečně účinná. Přitom náklady na zabezpečení instituce jsou ve většině případů daleko nižší než případné škody způsobené útokem.
Když jsou kyberzločinci úspěšní, dokáží ochromit celý chod nemocnice. Zaměstnanci ztratí přístup k rezervačním systémům, k datům o pacientech, dokonce může dojít k omezení ovládání zdravotnických přístrojů. V některých případech dochází také ke zcizení zdravotnických záznamů pacientů nebo právě probíhajících výzkumů. Pokusy o krádež výsledků výzkumu vakcín proti covidu-19 jsme mohli sledovat v uplynulém roce. Důsledky kybernetického útoku mohou mít také dohru v podobě ztráty důvěry v kritickou infrastrukturu, které svěřujeme naše nejcitlivější informace.
V Avastu jsme se v posledních letech setkávali s útoky na nemocnice poměrně často. Útoky mohou být cílené nebo vyplývají z masových útoků, většina z nich má však jedno společné, a to finanční motivaci útočníků. V některých případech se ale ani nedá bohužel vyloučit snaha uškodit napadené instituci. K útoku kyberzločinci používají ransomware, který nemocnicím zašifruje data a dešifrování slibuje až po zaplacení výkupného. A ač se některé české nemocnice dostaly do spárů ransomwaru, dle našich informací se ani jedna z nich neuchýlila k zaplacení výkupného, a nepodpořila tak kyberzločince v kriminální činnosti.
Kyberútoky na české nemocnice
Ransomware v Nemocnici Rudolfa a Stefanie Benešov
V nemocnici v Benešově došlo k útoku na konci roku 2019. Kvůli omezení lékařských výkonů, zrušení plánovaných vyšetření, operací, výroby a nákladům na obnovu se škody za necelé tři týdny omezení provozu vyšplhaly na 59 milionů korun.
Při útoku na nemocnici byl použit ransomware Ryuk. Ten je běžně instalován pomocí dalších kmenů malwaru jako Emotet a Trickbot. Celý tento infekční řetězec zpravidla začíná phishingovým e-mailem s infikovanou přílohou, kterému neopatrný příjemce uvěří a přílohu otevře.
Fakultní nemocnice Brno
Útok oficiálně začal 13. března minulého roku, a tentokrát šlo o cílený útok ransomwaru Defray (Defray777). Útočníci se po úspěšném napadení zařízení pokusili z instituce vymámit výkupné, které jim však neposkytla, naopak se zaměřila na forenzní analýzu útoku společně s NÚKIBem a Avastem, jeho investigaci a co nejrychlejší nápravu. Provoz byl obnoven po čtyřech týdnech.
Psychiatrická nemocnice v Kosmonosech
Následoval útok na psychiatrickou nemocnici, který proběhl jen o několik málo dnů později. 27. března došlo k ransomwarovému útoku, který s největší pravděpodobností zneužil slabá, nedostatečně zabezpečená místa na serverech. Útočníci se v takovém případě přihlásí, vypnou v zařízení bezpečnostní řešení a ručně spustí škodlivý kód, jenž ze zařízení zašifruje všechny dostupné lokální a síťové disky. Takový útok není nijak náročný a jde s největší pravděpodobností o smutnou shodu náhod, že se obětí stala právě nemocnice v Kosmonosech. Nemocnici jsme pomohli s analýzou útoku a obnovou jejího chodu, což se povedlo už po deseti dnech.
V Avastu každý měsíc zablokujeme více než čtyři miliony ransomwarových útoků. Většinou jde o necílené útoky, jak jsme si popsali v případě Nemocnice v Kosmonosech. Časté byly také útoky Emotetu, ten byl ale v poslední době eradikován a jeho autor zatčen. Na jeho místo se však okamžitě dostali jiní, v současnosti například malware Trickbot nebo IcedID.
Jak útok probíhá?
Útočníci se dostanou do zařízení uživatele pomocí phishingového e-mailu nebo zneužitím bezpečnostních zranitelností nějakého softwaru, jedním z nejnovějších příkladů je například zneužití poštovního systému Microsoft Exchange.
Další hrozbou je útok na vzdálený přístup. RDP (Remote Desktop Protocol), tedy technologie, která umožňuje vzdálené připojení jednoho zařízení k druhému, obvykle slouží jako jednoduchý nástroj pro přístup k pracovní stanici či serveru ze vzdálené lokality. Problém nastává při otevření RDP připojení do internetu. V momentě, kdy není připojení v konečném bodě zabezpečeno nebo je zabezpečeno špatně, se k zařízení otevírá cesta kyberzločincům. S tímto problémem se setkali i zaměstnanci nemocnice v Kosmonosech.
V případě, že používáte vzdálený přístup, nastavte RDP tak, že bude přístupný pouze přes vaši interní síť, například v kombinaci s firemní VPN. Přesvědčte se také, že používáte skutečně silná hesla, a to především na administrátorských účtech. Jestli RDP nevyužíváte, raději službu zcela zakažte.
Co dělat, když se do vašeho zařízení ransomware dostane?
Ač je pro oběť napadení ransomwarem skutečně nepříjemná situace, ve které není jednoduché se zorientovat, důrazně doporučujeme nikdy neplatit požadované výkupné. Při vydírání zločinci v současnosti často nutí zaplatit dvojité výkupné, první za obnovu dat, druhé za to, že informace nezveřejní na internetu. Někdy i po zaplacení výkupného zločinci data oběti neobnoví či je uveřejní na některém z webů dedikovaných pro sdílení ukradených dat. Navíc je zaplacení výkupného podporuje ve stupňování kriminální činnosti.
Nejlepší obranou proti ransomwaru je proto prevence. Zálohujte své soubory, a to nejlépe na externí disk, který je spolehlivým a bezpečným úložištěm (nenechávejte jej však trvale připojený k počítači!). V momentě, kdy vaše zařízení napadne kyberzločinec, jsou vaše soubory bezpečně uložené na externím disku a útok na ně nemá žádný vliv.
Chcete vědět o nejnovějších kyberútocích jako první? Sledujte naši facebookovou stránku, kam pravidelně přidáváme novinky z online světa!