Egy kaliforniai kórház alaposan belesétált a slamasztikába, ugyanis rendszerüket idén február elején megtámadta egy zsaroló kártevő. A Hollywood Presbyterian Medical Center gépeinek titkosítást feloldó kulcsáért pedig nem kevesebb, mint 3.6 millió dollárnak megfelelő 9,000 Bitcoint kértek - ez mai árfolyamon valamivel több, mint 1 milliárd forint. Megszokhattuk, hogy az ilyen esetekben az ismeretlen bűnözők mindig a nehezen lekövethető Bitcoin formájában és TOR hálózaton keresztül várják a váltságdíjat.
A használhatatlan rendszer nem csak a betegadat nyilvántartást, de minden számítógépes tevékenységet, például laboratóriumi munka, gyógyszerek adagolása, stb. érintett volt. Sőt a személyes leleltkiadásért is órákat kellett autózni a korábbi e-mailes küldés helyett.
A Los Angelesben működő kórház a rendőrség és az FBI segítségét is kérte az ügyben, amely látszatra nem is volt célzott, sokkal inkább járulékos, azaz véletlen áldozatok lettek.
A legvalószínűbb forgatókönyv, hogy egy gyanútlan alkalmazott nyitott meg valamilyen kártékony e-mail mellékletet vagy rosszindulatú weboldalt. A frissített híradásokban aztán Allen Stefanek, az intézmény vezetője már egy jóval kisebb összeget említett, állítólag 40 Bitcoin, azaz 17 ezer dollár volt az a váltságdíj, amelyet végül kifizettek a zsarolóknak a feloldó kulcsért.
A következő esetekben több németországi kórházban bukkant fel a ransomware. Például a Klinikum Arnsberg 200 szerverét kellett leállítani, mert attól tartottak, hogy a klinikán belül még tovább terjedhet a fertőzés.
A leállítás alatt a betegellátás nem szünetelt, csak éppen kartonokat töltöttek ki, és telefonon, valamint faxon tartották a kapcsolatot az ott dolgozók.
A Lukas Krankenhaus kórházat szintén zsaroló kártevő fertőzte meg, emiatt pedig műtéteket kellett elhalasztani, és a lekapcsolt levelező szerverük miatt itt is csak telefonon és faxon lehet folyik a kommunikáció.
Az már tényleg csak hab a tortán, hogy mindeközben három bank, és egy gyógyszeripari vállalat is leállásra kényszerült Indiában. A zsaroló kártevő ezeken a helyeken is jelentős károkat okozott. A beszámolók szerint egy elég kezdetleges, orosz nyelvű Delphiben készült ransomware pusztított, a távoli támadónak pedig a védtelen Remote Desktop porton keresztül sikerült sikerült beférkőznie a hálózatba.
Mindegyik esetben 1 Bitcoint kérték számítógépenként, ami a rengeteg PC miatt aztán összesen már milliós összeg volt dollárban számítva. Itt a helyzetet úgy próbálták megoldani, hogy csak a kulcsfontosságú gépek esetében fizették ki a váltságdíjat.
Az persze erőteljesen elgondolkodtató, hogy mi történik, ha a ransomware valamelyik esetben a Chimera lett volna. Ez kártevő ugyanis a titkosított állományokat nem csak zárolja, de a zsarolás azzal is kiegészül, hogy nem fizetés esetén a bizalmas dokumentumokat azonnal fel is tölti egy nyilvános weboldalra.
De ugyanígy tragikus lett volna az is, ha a Power Worm fertőzi meg a gépeket. Itt ugyanis bár az adatokért cserébe 2 Bitcoint (220 ezer forint) kérnek, de egy programozási hiba következtében nem kaphatunk jó feloldó kulcsot, így ha akarnánk fizetni, akkor sem férnénk soha többé az adatainkhoz.
A leválasztott, és különtárolt rendszeres mentések sosem voltak még ilyen fontosak, mint manapság, ezt mi is csak jó szívvel tanácsolni tudjuk. Sajnos az is tapasztalat, hogy a kórházakban sokszor elavult az informatikai infrastruktúra, ezért a védekezés és megelőzés ezeken a helyeken nem könnyű feladat.
Mindenesetre az Interpol a hasonló, főképp egészségügyi intézeteket ért incidensek miatt egy külön munkacsoport létrehozását szorgalmazza.
Kórházak a pácban
Egy jó ideje már igyekszünk figyelmeztetni, hogy a ransomware nem kegyelmez és nem válogat, ezért a naprakész védelem és a hibajavító frissítések azonnali letöltése mellett mindenkinek javasoljuk a saját munkák külső, mentés után leválasztott adathordozóra való mentését is. Úgy tűnik, a bizalmas betegadatokkal dolgozó egészségügyi számítógépek közül többen is áldozatul estek, tulajdonképpen szinte az a csoda, hogy csak most.