Университетската болница в Нюарк бе ударена от Ransomware. Наложи се да плати 670 000 долара откуп, за да предотврати изтичане на данните на пациенти.
Университетската болница в Нюарк, Ню Джърси, заплати $ 670 000 откуп този месец, за да предотврати публикуването на 240 GB откраднати данни, включително информация за пациенти.
Нападението над болницата е станало в началото на септември от банда, известна като SunCrypt, която прониква в мрежата, краде некриптирани файлове и след това криптира всички данни.
След като от SunCrypt публикуваха архив от 48 000 документа, представител на болницата се свърза с престъпниците през техния портал за тъмни уеб плащания, за да договори спирането на всяко по-нататъшно публикуване на данни за пациентите.
Платили, за да защитят данните на своите пациенти
В разговор, видян от медии, между болницата и престъпниците, се виждат странно сърдечните преговори за искане на откуп.
След като извадка от откраднатите данни на болницата беше публикувана на сайта за изтичане на данни на SunCrypt, болницата се свърза с бандата чрез сайта им за плащане Tor, където им беше казано, че откупът е 1,7 милиона долара. Нападателите им казаха, че този откуп обаче “подлежи на договаряне поради ситуацията с COVID-19”.
Тъй като болницата имаше само два криптирани сървъра, те бяха по-загрижени за освобождаването на данните на пациента и бяха готови да платят откуп, за да предотвратят по-нататъшни публикации.
„Искаме да предотвратим всяко по-нататъшно изтичане на нашите данни и затова говорим тук с вас“, казат от Университетската болница на оператора на рансъмуер.
Не е съвсем ясно каква информация се съдържа в откраднатите файлове, но престъпниците твърдят, че имат „сканиране на идентификатори, DOB, SSN, тип болест“.
След поредица от дълги преговори те се съгласиха на откуп от 672 744 долара, или 61,90 биткойни, и болницата изпрати плащане на дадения биткойн адрес.
Биткойн блокчейнът показва, че 61,9 биткойни са изпратени на биткойн адреса на операцията за рансъмуер на 19 септември.
След приключването на преговорите операторът на рансъмуер казва на Университетската болница в Нюарк: “Вие също се справихте чудесно.“
Като част от преговорите операторите на рансъмуер се съгласиха да предоставят декриптор, всички откраднати данни, доклад за сигурността и споразумение да не разкриват откраднати данни или да атакуват болницатаа отново.
Според доклада за сигурността, получен от престъпниците, болничната мрежа е била компрометирана, след като служител от средно ниво е попаднал във фишинг измама и е предоставил идентификационните си данни за мрежата.
След това операторите на рансъмуера използвали тези откраднати мрежови идентификационни данни, за да влязат в сървъра на болницаата Citrix и да получат достъп до мрежата.
SunCrypt заявява, че повече няма да са насочени към болници
През март, когато пандемията от коронавирус се разрастваше в цял свят, различни оператори на рансъмуер, като CLOP, DoppelPaymer, Maze и Nefilim заявиха, че няма да се насочват към болници и ще дешифрират безплатно криптирани болнични системи по погрешка.
Netwalker ransomware беше единственият, който заяви публично, че всяка организация, включително криптирана болница, ще трябва да плати. Оказва се обаче, че здравните заведения са под напрежение, което ги превръща в лесна плячка на престъпници, които искат да изкарат бързи и лесни пари.
По материали от интернет