Σε κοινή ανακοίνωση του Υπουργείου Υγείας και της Εθνικής Διεύθυνσης Κυβερνοχώρου στο Ισραήλ περιγράφεται η άνοδος των επιθέσεων ransomware το Σαββατοκύριακο που στόχευσαν τα συστήματα εννέα ινστιτούτων υγείας στη χώρα. Στην κοινή ανακοίνωση, η ισραηλινή κυβέρνηση αναφέρει ότι οι προσπάθειες δεν οδήγησαν σε καμία ζημιά στα νοσοκομεία και τους ιατρικούς οργανισμούς, χάρη στον συντονισμό σε εθνικό επίπεδο και τη γρήγορη και αποφασιστική απάντηση των τοπικών ομάδων IT.
Δείτε επίσης: Το Sinclair Broadcast Group δέχτηκε επίθεση ransomware
Οι δύο αρχές είχαν πραγματοποιήσει πολυάριθμες αμυντικές δραστηριότητες στον τομέα της υγείας (νοσοκομεία και διάφορες άλλες ιατρικές δομές) για τον εντοπισμό ανοικτών τρωτών σημείων και την εξασφάλισή τους πριν από την άφιξη του Σαββατοκύριακου, κυρίως ως απάντηση στην επίθεση της Τετάρτης στο Ιατρικό Κέντρο Hillel Yaffe.
Όπως φαίνεται, όμως, αυτές οι προσπάθειες δεν ήταν αρκετές για να εξασφαλίσουν τα εκτεθειμένα endpoints και ορισμένα νοσοκομεία και οργανισμοί υγειονομικής περίθαλψης παραβιάστηκαν το Σαββατοκύριακο.
Δείτε επίσης: REvil ransomware: “Κλείνει” ξανά μετά από παραβίαση των Tor sites
Πίσω από τις επιθέσεις κρύβονται Κινέζοι χάκερ;
Σύμφωνα με αναφορές τοπικών μέσων ενημέρωσης, η επίθεση αποδίδεται σε μια κινεζική ομάδα hacking που χρησιμοποιεί το είδος ransomware «DeepBlueMagic», το οποίο εμφανίστηκε για πρώτη φορά τον Αύγουστο του τρέχοντος έτους.
Το DeepBlueMagin είναι γνωστό ότι απενεργοποιεί λύσεις security που συνήθως εντοπίζουν και αποκλείουν προσπάθειες κρυπτογράφησης αρχείων, επιτρέποντας την επιτυχία των επιθέσεων.
Δοκιμάζοντας τις IOCs που μοιράστηκαν οι αρχές, το BleepingComputer διαπίστωσε ότι οι απειλητικοί φορείς χρησιμοποιούν το εργαλείο κρυπτογράφησης σκληρού δίσκου «BestCrypt» για κρυπτογράφηση συσκευών.
Η Εθνική Διεύθυνση Κυβερνοχώρου του Ισραήλ δημοσίευσε indicators of compromise (IOCs) με τη μορφή των file hashes που έχουν παρατηρηθεί σε συναφείς επιθέσεις.
Ο οργανισμός προτείνει στους ισραηλινούς οργανισμούς να εκτελέσουν τα ακόλουθα βήματα:
- Ελέγξτε τα IOCs στο αρχείο CSV και ελέγξτε αν έχουν παρατηρηθεί στο περιβάλλον τους.
- Εκτελέστε μια ενεργή σάρωση όλων των συστημάτων και συμπεριλάβετε τα file hashes στις λύσεις AV/EDR του οργανισμού.
- Βεβαιωθείτε ότι όλοι οι servers VPN και email έχουν αναβαθμιστεί στην πιο πρόσφατη έκδοση για να επιλύσουν τυχόν τρωτά σημεία που μπορούν να χρησιμοποιήσουν οι απειλητικοί φορείς για να αποκτήσουν πρόσβαση σε εσωτερικά δίκτυα.
- Εάν οι servers δεν είναι ενημερωμένοι, ενημερώστε τους και πραγματοποιήστε επαναφορά κωδικού πρόσβασης για όλους τους χρήστες.
- Αυξήστε την παρακολούθηση για ασυνήθιστα γεγονότα στα εταιρικά δίκτυα.
- Αναφέρετε τυχόν παραβιάσεις ή ασυνήθιστες δραστηριότητες στην Israel National Cyber Directorate του Ισραήλ.
Το Hillel Yaffe εξακολουθεί να παλεύει με την επίθεση
Εν τω μεταξύ, το Ιατρικό Κέντρο Hillel Yaffe στα βόρεια του Τελ Αβίβ εξακολουθεί να παλεύει με την αποκατάσταση των συστημάτων του και το προσωπικό χρησιμοποιεί “στυλό και χαρτί” για να δεχτεί ασθενείς.
Παρόλο που υπάρχει ελπίδα ότι το Ιατρικό Κέντρο Hillel Yaffe θα επιστρέψει στις κανονικές του λειτουργίες σε λίγες ημέρες, υπάρχουν φόβοι ότι ορισμένα ιατρικά αρχεία θα είναι μη ανακτήσιμα.
Δείτε επίσης: ΗΠΑ: Συνεχείς επιθέσεις ransomware στις εγκαταστάσεις του τομέα υδάτων
Αυτό συμβαίνει επειδή οι χειριστές ransomware φέρονται να έχουν πρόσβαση στο εφεδρικό σύστημα, κάνοντας wipe όλα τα αντίγραφα που είναι αποθηκευμένα εκεί για περιπτώσεις έκτακτης ανάγκης, όπως κυβερνοεπιθέσεις.
Ο Reuven Eliyahu, επικεφαλής της κυβερνοασφάλειας στο Υπουργείο Υγείας επιβεβαίωσε ότι η επίθεση στα μέσα της εβδομάδας πραγματοποιήθηκε από Κινέζους χάκερ και περιέγραψε τα κίνητρα των χάκερ ως «καθαρά οικονομικά».
Πηγή πληροφοριών: bleepingcomputer.com
