Группа больниц Онтарио подтверждает, что атака была осуществлена ​​с помощью программы-вымогателя

Банда вымогателей Daixin Team взяла на себя ответственность за атаки, которые затруднили работу пяти больниц на юго-западе Онтарио, у которых был общий поставщик услуг.

Банда также начала публиковать, по ее словам, 5,6 миллиона записей с личной и медицинской информацией, включая имена, номера социального страхования и информацию о лечении пациентов.

Обычно банда вымогателей начинает публиковать данные только в том случае, если организация отказывается платить выкуп или если переговоры сорваны.

Как мы сообщали 24 октября, учреждения группы — Bluewater Health of Sarnia, Chatham Kent Health Alliance, Erie Shores HealthCare of Leamington, Hôtel-Dieu Grace Healthcare и Windsor Regional Hospital, а также поставщик общих услуг TransForm Shared Service Organization — пострадали от кибератаки, которая привела к прекращению предоставления некоторых медицинских услуг.

На этой неделе компания Transform подтвердила, что это была атака с использованием программы-вымогателя. «В ходе нашего расследования мы установили, что, к сожалению, некоторые данные пациентов, сотрудников и специалистов были похищены, и существует вероятность того, что лица, ответственные за эту атаку, могут опубликовать некоторые из украденных данных», — говорится в заявлении.

«Мы продолжаем круглосуточно работать над восстановлением систем и ожидаем получить обновления, связанные с восстановлением наших систем, на предстоящей неделе. Мы тесно сотрудничаем с правоохранительными органами, включая местные полицейские управления, полицию провинции Онтарио, Интерпол и ФБР, и уведомили все соответствующие регулирующие организации, включая комиссара по информации и конфиденциальности Онтарио».

Публикация Daixin было сообщено X канадский аналитик угроз Emsisoft Бретт Кэллоу. В своем сообщении о доступности украденных данных банда Daixin хвастается, что информация может быть использована для «разнообразных преступлений, включая открытие новых финансовых счетов, получение кредитов… фишинг и хакерство… подачу фальсифицированных налоговых деклараций, получение водительских прав». и более.

Сектор здравоохранения рассматривается мошенниками как уязвимый для давления из-за конфиденциальной медицинской информации, которой они владеют. В США больницы, скорее всего, будут располагать данными платежных карт пациентов, а мошенники могут сделать ставку на то, что больницы здесь обратятся к правительствам провинций, которые в основном финансируют здравоохранение, с просьбой помочь им.

Согласно отчету Агентства кибербезопасности и безопасности инфраструктуры США (CISA) за 2022 год, команда Daixin активно атакует американские предприятия, преимущественно в секторе здравоохранения и общественного здравоохранения (HPH), с помощью программ-вымогателей и операций по вымогательству данных.

Обычно, по словам CISA, Daixin получает первоначальный доступ к жертвам через серверы виртуальной частной сети (VPN). В одном из подтвержденных случаев взлома злоумышленники, вероятно, воспользовались неисправленной уязвимостью на VPN-сервере организации. В другом случае злоумышленники использовали ранее скомпрометированные учетные данные для доступа к устаревшему VPN-серверу, на котором не была включена многофакторная аутентификация (MFA). Предполагается, что злоумышленники получили учетные данные VPN с помощью фишингового электронного письма с вредоносным вложением.

Учреждениям здравоохранения становится сложнее бороться с программами-вымогателями, если верить отчету, опубликованному на этой неделе компанией Sophos. Двадцать четыре процента организаций здравоохранения заявили, что им удалось предотвратить атаку программ-вымогателей до того, как злоумышленники зашифровали их данные. Этот показатель снизился с 34 процентов в 2022 году. Это самый низкий уровень сбоев в работе сектора за последние три года.

Кроме того, респондентам из сферы здравоохранения в этом году потребовалось больше времени для выздоровления, чем в 2022 году. Только 47 процентов заявили, что оправились от нападения за неделю, по сравнению с 54 процентами в прошлом году.

Скомпрометированные учетные данные были основной причиной атак программ-вымогателей на организации здравоохранения, за которыми следовали эксплойты.

В исследовании Sophos State of Ransomware 2023 были опрошены 3000 руководителей ИТ/кибербезопасности в организациях со штатом от 100 до 5000 сотрудников, в том числе 233 из сектора здравоохранения, в 14 странах Северной и Южной Америки, Европы, Ближнего Востока и Африки и Азиатско-Тихоокеанского региона.