羅馬尼亞當局證實針對醫療資訊系統(HIS)的勒索軟體攻擊已擾亂至少100家醫院的運作,受影響的醫院都必須放棄使用電腦系統,回到紙筆時代,手寫病歷。
羅馬尼亞 100 家醫院的醫療管理系統遭到Backmydata勒索軟體攻擊後,系統已關閉。醫院用來管理醫療活動和病患資料的醫療資訊系統(Healthcare /Hospital Information System,簡稱為HIS)在上周末遭到攻擊,資料庫被加密後現已離線。已確認 25 家醫院的資料已被攻擊者加密,為防止損害進一步蔓延,在調查事件期間,使用HIS 的其他 75 家醫療機構也已將其系統關閉。據羅馬尼亞國家網路安全局 (DNSC) 稱,攻擊者首先在星期六(2 月 10 日)對一家兒童醫院的數據進行了加密,並在 2 月 11 日至 2 月 12 日期間對其餘24家醫院進行了攻擊。DNSC 還表示,與 HIS 系統連接的其他 75家醫療機構已被切斷網路連接,調查人員正在試圖確定它們是否也受到了影響。
據 DNSC 稱,大多數受影響的醫院都有最新的資料備份,這應該可以快速恢復所有系統。然而,在一個設施中,備份不包括最近 12 天的資料。週二(2 月 13日),DNSC宣布受影響的醫院數量已增加到 26 家,攻擊者已提出 3.5 比特幣(約 175,000 美元)的贖金要求。DNSC 已要求所有醫院隔離受影響的系統,保存勒索信和系統日誌,調查日誌以確定進入點,保持受影響的系統處於開啟狀態,以便從記憶體中檢索證據,並將事件通知所有相關方、使用備份還原受影響的系統,並確保所有應用程式和作業系統都是最新的。
一個癌症治療組織週一告訴當地新聞媒體,所有伺服器都已關閉,網路也已斷開,以防止資料外洩。光是這家醫院,週一就有 180 多名入院病人進行了紙本登記,血液檢查也印在紙本上。
這次攻擊中使用的 Backmydata屬於 Phobos勒索軟體系列的變種,該勒索軟體通常透過利用遠端桌面協定 (RDP) 服務中的漏洞(包括弱登入憑證)來感染系統。在受感染的系統上,Backmydata 實現持久性、停用防火牆、刪除影集副本以及加密和洩漏資料。
在勒索信中,駭客聲稱竊取了機密數據,如果不支付贖金,這些數據將被出售,並提供受害者用於通訊的電子郵件地址。
Backmydata勒索軟體的部分入侵指標(Indicator of compromise -IOCs):
396a2f2dd09c936e93d250e8467ac7a9c0a923ea7f9a395e63c375b877a399a6
70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4