Ο προμηθευτής λογισμικού διαχείρισης επιχειρήσεων Advanced αποκάλυψε ότι παραβιάστηκαν τα δεδομένα 16 πελατών στον τομέα της υγείας και της κοινωνικής περίθαλψης. Η ransomware επίθεση έλαβε χώρα στα συστήματα της τον Αύγουστο του 2022, και τώρα βρέθηκε ότι είναι έργο της ομάδας Lockbit 3.0.
Δείτε επίσης: Πρόστιμο στην Shein: Δεν ειδοποίησε 39 εκατ. χρήστες ότι κλάπηκαν τα credentials τους
Οι οργανισμοί που παραβιάστηκαν ήταν όλοι χρήστες των υπηρεσιών Caresys και Staffplan της Advanced. Το Caresys είναι ένα management software package care home που υποστηρίζει λειτουργίες φροντίδας πρώτης γραμμής και back-office για care homes, ενώ το Staffplan είναι ένα πακέτο λογισμικού modern care service. Όλοι οι πελάτες που επηρεάζονται έχουν ειδοποιηθεί και λαμβάνουν υποστήριξη.
Η ίδια η επίθεση ξεκίνησε στις 2 Αυγούστου και εντοπίστηκε στις 4 Αυγούστου, οπότε η ομάδα ασφαλείας της Advanced αποσύνδεσε ολόκληρο το περιβάλλον Health and Care για να περιορίσει την απειλή και να περιορίσει τις επιπτώσεις της. Το αποτέλεσμα αυτού ήταν ότι πολλές άλλες υπηρεσίες τέθηκαν εκτός σύνδεσης, συμπεριλαμβανομένων εκείνων που χρησιμοποιούνται από οργανισμούς πρώτης γραμμής NHS.
Δείτε επίσης: Το ρωσικό project DDOSIA πληρώνει εθελοντές που εξαπολύουν επιθέσεις DDOS εναντίον της Δύσης
Ο μεγαλύτερος αντίκτυπος που παρατηρήθηκε ήταν στους χρήστες του λογισμικού διαχείρισης Clinical Patient Adastra της Advanced, το οποίο στηρίζει την πλειονότητα των 111 υπηρεσιών του NHS. Οι υπηρεσίες ασθενών σε πολλούς άλλους φορείς του NHS και παρόχους υγειονομικής περίθαλψης διαταράχθηκαν, με πολλούς να χρειάστηκαν εβδομάδες για να σταθούν ξανά στα πόδια τους.
Η Advanced είπε ότι το πλήρωμα του Lockbit 3.0 είχε πρόσβαση στο δίκτυό του χρησιμοποιώντας ένα νόμιμο σετ από third-party credentials για να δημιουργήσει μια περίοδο λειτουργίας remote desktop protocol (RDP) σε έναν server Staffplan Citrix. Από εκεί μπόρεσαν να μετακινηθούν πλευρικά στο περιβάλλον Health and Care του οργανισμού για να κλιμακώσουν τα προνόμιά τους και να αναπτύξουν το ransomware. Αμέσως πριν από την εκτέλεση του ransomware και την κρυπτογράφηση των συστημάτων της Advanced, η συμμορία έκανε exfiltrate έναν «περιορισμένο» όγκο δεδομένων. Δεν αποκάλυψε εάν κάποιο από αυτά τα δεδομένα σχετίζεται με κάποιον ασθενή.
Δείτε επίσης: Magniber ransomware: Στοχεύει χρήστες Windows μέσω fake security updates
Η Advanced είπε ότι οι ομάδες της εργάζονται όλο το εικοσιτετράωρο για να θέσουν ξανά σε λειτουργία τα συστήματα και τους πελάτες της.
Πηγή πληροφοριών: computerweekly.com
