Cel puțin 25 de spitale din Romania care utilizează sistemul informatic medical Hipocrate, sunt afectate de un atac ransomware care a țintit furnizorul de servicii digitale.

În urma atacului, datele de pe servere au fost criptate și spitalele nu au mai putut accesa platforma, forțând astfel personalul medical să revină la pix și hârtie pentru a scrie fișele de internare și rețetele pacienților.

Alte 75 de unități spitalicești utilizatoare ale platformei Hipocrate s-au deconectat de la internet ca măsura de precauție pentru a împiedica atacatorul să le infecteze și să trimită comanda de criptare a datelor.

Sistemul informatic Hipocrate (HIS) este o platformă dezvoltată de firma Romanian Soft Company (RSC) ca soluție integrată pentru activități de gestiune specifice unităților medicale.

Conform dezvoltatorului, “Hipocrate reprezintă cercul activităților medicale de spital, paraclinic, imagistică, farmacie, flux de pacienți, programe naționale și ambulatoriu de specialitate reunit cu activitățile complexe de management al resurselor interne, raportare și gestiune financiar-contabilă.”

Date criptate, nu furate

Atacul a inceput sâmbătă, 10 februarie, prima victimă fiind Spitalul de Pediatrie Pitești. În următoarele două zile, malware-ul a fost distribuit la încă 24 de spitale:

• Spitalul Județean de Urgență Buzău
• Spitalul Județean de Urgență Slobozia
• Spitalul Clinic Județean de Urgență “Sf. Apostol Andrei” Constanța
• Spitalul Județean de Urgență Pitești
• Spitalul Militar de Urgență “Dr. Alexandru Gafencu” Constanța
• Institutul de Boli Cardiovasculare Timișoara
• Spitalul Județean de Urgență “Dr. Constantin Opriș” Baia Mare
• Spitalul Municipal Sighetu Marmației
• Spitalul Județean de Urgență Târgoviște
• Spitalul Clinic Colțea
• Spitalul Municipal Medgidia
• Institutul Clinic Fundeni
• Institutul Oncologic “Prof. Dr. Al. Trestioreanu” București (IOB)
• Institutul Regional de Oncologie Iași (IRO Iași)
• Spitalul de Ortopedie și Traumatologie Azuga
• Spitalul orășenesc Băicoi
• Spitalul Clinic de Urgență Chirurgie Plastică, Reparatorie și Arsuri București
• Spitalul de Boli Cronice Sf. Luca
• Spitalul Clinic C.F. nr. 2 București
• Centrul medical MALP SRL Moinești
• Institutul de Fonoaudiologie și Chirurgie Funcțională ORL „Prof. Dr. D. Hociotă”, București
• Sanatoriul de Pneumoftiziologie Brad, Hunedoara
• Spitalul de Pneumoftiziologie Roșiorii de Vede
• Clinica Sante Călărași (clinică privată)

Malware-ul de tip ransomware are ca scop criptarea datelor, permițând atacatorului să constrângă victima să plăteasca o răscumparare în schimbul cheii de decriptare.

În ultima vreme însă, multe grupări ransomware nu mai criptează datele ci doar le sustrag copiindu–le pe infrastructura lor, amenințând victimele cu publicarea informațiilor furate daca nu plătesc răscumpărarea.

Directoratul Național de Securitate Cibernetică (DNSC) a fost înștiințat de atac luni, 12 februarie, și a trimis o echipă de specialiști către furnizorul de servicii pentru a investiga incidentul.
Într-un comunicat de azi, DNSC spune că până acum nu a gasit niciun indiciu că atacatorul ar fi copiat datele de la spitale înainte de criptare.

Phobos ransomware

Conform DNSC, varianta de ransomware folosită în atac se numește Backmydata și face parte din familia de malware Phobos, care e la baza altor variante de ransomware (e.g. Ransom House, 8Base) folosite în diverse atacuri.
Phobos este o familie de ransomware accesibilă pe o scară mai larga, folosită în general de atacatori cu o experiență si un nivel tehnic limitate.

Din această cauză, Phobos sau derivatele sale sunt foarte des utilizate in atacuri, iar prețul cerut pentru recuperarea datelor este de obicei unul mic comparativ cu cel al grupărilor experimentate (e. g. LockBit, ALPHV/BlackCat, Royal/BlackSuit).

Potrivit DNSC, autorul atacului a cerut in schimbul cheii de decriptare 3.5 BTC, aproximativ 160,000 euro la prețul actual.