Bezpečnostní novinky

Nemocnice se musí chránit před digitálními viry víc než dřív

Michal Salát, 20. březen 2020

Přinášíme doporučení pro nemocnice, jak být odolnější vůči ransomwarovým útokům a jak postupovat v případě napadení

Minulý pátek čelila Fakultní nemocnice Brno, která je mimo jiné jedním z center pro testování koronaviru, útoku ransomwarem, který ochromil její počítače. Nemocnice zvolila standardní postup a o pomoc požádala Národní úřad pro kybernetickou a informační bezpečnost. Naše výzkumná laboratoř se nabídla, že nemocnici podpoří analýzou malwaru.

Obecně sice nejsou nemocnice na ransomware útoky náchylnější, ale případné napadení v aktuální situace pro ně může mít skutečně závažné důsledky, jako je ztráta záznamů pacientů nebo zpoždění či úplné zrušení zákroků. Vzhledem k tomu, že nemocnice provádějí zásadní operace a shromažďují o pacientech životně důležité informace, mají ve srovnání s jinými organizacemi větší tendenci zaplatit výkupné, čímž se pro útočníky stávají lákavějším terčem.

Útočníci využívající ransomware se sice tváří jako filantropové a oficiálně tvrdí, že během probíhající pandemie nebudou na nemocnice cílit, mnohem pravděpodobnější ale je, že se vyhýbají pozornosti, kterou antivirové firmy věnují každému, kdo se pokouší napadnout pohotovostní služby.

Jak mohou být nemocnice vůči ransomwarovým útokům odolnější

Existuje několik kroků, které mohou nemocnice podniknout, aby posílily svou obranu a ochránily své systémy, data pacientů a operace.

Aktualizace softwaru

V květnu 2017 napadl ransomware WannaCry miliony počítačů po celém světě prostřednictvím zranitelnosti systému, na kterou vydal Microsoft opravu už dva měsíce před útokem. Miliony lidí a firem si však svůj systém neaktualizovaly, a proto se útoku nemohly bránit. Mezi napadenými byly i nemocnice.

Udržovat veškerý software a operační systémy vždy aktualizované je naprosto nezbytné. Microsoft neustále vydává opravy, mezi ty nejnovější patří i oprava zranitelnosti systému Windows 10 nazvaná „EternalDarkness”. Ta ovlivňuje protokol SMB, který se používá ke sdílení souborů. Jde o stejný protokol, který před třemi lety využil k šíření i WannaCry. Microsoft vyzval své uživatele k okamžité aktualizaci. Zdravotnická zařízení by tuto výzvu měla brát obzvlášť vážně.

Omezení přístupu

Doporučujeme také, aby nemocnice přestaly využívat všechny služby dostupné přímo z internetu. IT administrátoři by měli zvážit striktní opatření, která umožní spouštění pouze známých a schválených programů.

Školení na digitální hygienu

Stejně, jako školí nemocnice svůj personál ohledně hygienických pracovních postupů, měly by zaměstnance pravidelně vzdělávat i v oblasti digitální hygieny. Nemocniční personál by měl znát aktuální podvodné taktiky kyberzločinců, zejména proto, že e-maily jsou pro útočníky stále jednou z nejpopulárnějších metod. Personál zdravotnických zařízení by si měl dávat pozor na e-maily od neznámých odesílatelů a v žádném případě by nikdo neměl klikat na odkazy nebo stahovat soubory, pokud si nejsou stoprocentně jistí, že jsou z důvěryhodného zdroje.

Pravidelné zálohování všech důležitých dat

Pokud máte svá data zálohovaná, seberete tím útočníkům většinu jejich největší výhodu. Díky záloze totiž můžete svůj systém i data znovu obnovit. Důležité dokumenty, včetně záznamů pacientů, je nutné zálohovat pravidelně, aby měly nemocnice vždy k dispozici jejich čerstvou verzi, a to i v případě, že je nějaký útočník zašifruje. Data je dobré zálohovat na cloudových i fyzických úložištích, pro všechny případy. Vyplatí se také mít jeden obraz systému s výchozím nastavením, pokud by bylo potřeba počítač úplně obnovit.

Jaké kroky podniknout v případě napadení ransomwarem

Občas dojde k útoku i navzdory všem opatřením, proto je dobré vědět, co dělat, když se tak stane.

Krok č. 1: Okamžitě izolujte napadená zařízení
První věc, kterou musíte udělat, pokud je váš počítač se systémem Windows napaden ransomwarem, je najít a odpojit všechna další napadená zařízení v síti, ať už jsou připojená kabelem nebo bezdrátově. Tím zabráníte šíření ransomwaru do dalších počítačů, tabletů a chytrých telefonů.

Během tohoto procesu doporučujeme odpojit také vše, co je připojené k zařízením v síti, včetně externích disků.

Nakonec zkontrolujte, zda některé z těchto doplňků nebyly připojené k napadeným zařízením. Pokud ano, ověřte si, zda se i v jejich systémech nenacházejí zprávy požadující výkupné.

Krok č. 2: Sběr záznamů a vytvoření forenzního snímku

Jakmile je stroj izolovaný a nemůže na síti napáchat žádné škody, měli byste vytvořit forenzní snímek živého systému pro další analýzu. Tím zmrazíte veškeré záznamy a události v systému a zvýšíte šance na zjištění, odkud útok přišel a jak se choval.

Krok č. 3: identifikace typu ransomware
Jako další by oběť měla zjistit typ ransomwarového útoku, jehož se stala terčem. To jí pomůže najít vhodnou opravu. Pro určení typu ransomwaru doporučujeme nástroj Crypto Sheriff na stránce No More Ransom. Tento šikovný nástroj od Centra pro boj s kyberzločinem, spadajícího pod Europol, prověřuje soubory, které útočník zašifroval, a zprávu požadující výkupné. Pokud Crypto Sheriff rozpozná šifrování a má pro ně řešení, nabídne uživateli odkaz pro stažení potřebného dekódovacího softwaru. Další pomoc při určování a odstraňování ransomwaru mohou nabídnout také uživatelská fóra a technická podpora. I v případě, že jde o nový typ, můžete narazit na vlákno s opravou nebo na fórum, jehož členové pracují na řešení.

Některé typy ransomwaru po zašifrování přejmenovávají soubory a jejich přípony (jako např. .exe, .docx, .dll). Pokud se obracíte pro pomoc na fóra, použijte ve vyhledávači jména a přípony šifrovaných souborů. Obojí vás může nasměrovat k diskuzi právě o vašem ransomwaru.

Další užitečné informace můžete najít na těchto fórech:

Krok č. 4: Odstranění ransomwaru

Je důležité zbavit se základního malwaru, který drží počítač jako rukojmí. Pro systémy Windows 10, 8 a 7 existují možnosti odstranění ransomwaru:

  1. Zkontrolujte, zda se ransomware sám vymazal (což se často děje)
  2. Odstraňte jej pomocí antivirového řešení, například pomocí Avast Antiviru
  3. Odstraňte škodlivý program ručně
  4. Přeinstalujte systém z obrazu

Lidé poškození ransomwarem a správci IT naleznou podrobnější kroky v našem průvodci zde.

I když se všichni dnes snažíme chránit zdraví sebe a svých blízkých před virem, je důležité, abychom také chránili naše zařízení před počítačovými viry. V Avastu jsme připraveni tyto hrozby zastavit, jsme ostražití a vývoj situace bedlivě sledujeme.

Buďte v bezpečí!