י"ט אדר ב' התשפ"ד
29.03.2024

בית חולים שילם 55 אלף דולר כופר למרות שהיו לו גיבויים

בית חולים באינדיאנה, שילם כופר 55 אלף דולרים, כדי להיפטר מנוזקת כופר שהדביקה את מערכות המחשוב

בית החולים הנקוק (מתוף דף הפייסבוק)
בית החולים הנקוק (מתוף דף הפייסבוק)



לפני כשבוע וחצי ב-11 לינואר, פרצו האקרים לרשת של בית החולים האיזורי 'הנקוק' בעיר גרינפילד, אינדיאנה.

התוקפים הפיצו את נוזקת הכופר SamSam שהצפינה את קבצים ושינתה את הסיומת שלהם מרשת המחשבים בבית החולים ל-"I'm sorry", כך דווח בעיתון מקומי שדיווח על מתקפת הכופר בשבוע שעבר.

מערכות בית החולים הושפעו מיד מההתקפה. צוות ה-IT (מחשבים וטכנולוגיית מידע) של בית החולים התערב והשבית את כל המערכות. העובדים התבקשו לכבות את כל המחשבים על מנת למנוע הפצה של נוזקת הכופר למחשבים נוספים.

יום למחרת, בית החולים כוסה בכרזות המבקשות מהעובדים לסגור את כל המחשבים עד שהמקרה יטופל. בעוד כמה אתרי חדשות דיווחו כי בית החולים נסגר, הצוות רפואי והניהולי המשיכו את עבודתם, אבל עם עט ונייר במקום עם מחשבים והחולים המשיכו לקבל טיפול רפואי.

לבית החולים היו גיבויים אבל החליט לשלם את הכופר הנדרש. בית החולים טען כי למרות שיש ברשתו גיבויים, הם בחרו לשלם את דרישת הכופר של 4 ביטקוין, ששוויו היה כ-55 אלף דולר בזמן התשלום, שבת בבוקר.

הנהלת בית החולים הסבירה לעיתונות המקומית, כי שחזור מגיבויים לא היה פתרון אפשרי, מכיוון שהיה לוקח מספר ימים ואפילו מספר שבועות עד שהיו משחזרים ומחזירים את המערכות לפעולה תקינה. לכן החליטו בבית החולים לשלם את הכופר על מנת להחזיר את המצב לקדמותו במהירות.

עד יום שני בשבוע שעבר, כל המערכות חזרו לפעול ובית החולים שחרר הצהרה באתר שלו בו הודה שאכן חווה מתקפת כופר אך לא הרבה בפרטים.

בעבר נוזקת הכופר SamSam חדרה דרך RDP

נוזקת הכופר SamSam זוהתה כבר לפני שנתיים ושימשה רק להתקפות ממוקדות. התוקפים שמשתמשים בנוזקה זו בדרך כלל סורקים טווחי כתובות IP ברשת ותרים אחר מחשבים עם חיבורי Remote Desktop (RDP) פתוחים שמיועדים לחיבור משתמשים מחוץ לרשת. התוקפים חודרים לרשתות גדולות באמצעות התקפות brute-force על RDP של תחנות הקצה בארגונים ואז מפיצים את הנוזקה לשאר המחשבים. ברגע שיש להם נוכחות חזקה מספיק ברשת, התוקפים פורסים את SamSam וממתינים שהארגון ישלם את דרישת הכופר.

בית החולים אומנם לא אישר את תרחיש ההתקפה הטיפוסי של SamSam, אך גם טען שההדבקה לא הייתה מקרה של עובד שפתח דואר אלקטרוני נגוע. "ההתקפה הנ"ל היא חלק מטרנד שאנחנו רואים בשנים האחרונות של התקפות כופר שמנצלות חברות וארגונים שמאפשרים חיבורים מרחוק ללא שכבת אימות נוספת" מסביר אמיר כרמי, מנהל הטכנולוגיות בחברת אבטחת המידע ESET בישראל.

"אנו ממליצים שלא לאפשר חיבורי RDP ללא חיבור VPN ו\או אימות דו שלבי עם סיסמה חד פעמית שנשלחת לנייד. כך לא ניתן לבצע את הפריצה בקלות רבה כזו". עוד מוסיף כרמי כי "המקרה הנוכחי מחזק את חשיבות בדיקת הגיבויים בשילוב של כלים המאפשרים שחזור מהיר של מערכות קריטיות. גם במקרה שאין את הכלים הללו, אנו ממליצים לא לשלם כופר לתוקפים, פעולה שרק מהווה תמריץ נוסף עבורם לבצע התקפות נוספות ולחזק את תשתית התקיפה".
דרישת כופר בית חולים

art

'בחדרי' גם ברשתות החברתיות - הצטרפו!

הוספת תגובה

לכתבה זו התפרסמו 1 תגובות

תגובות

הוסיפו תגובה
{{ comment.number }}.
{{ comment.message }}
{{ comment.date_parsed }}
הגב לתגובה זו
{{ reply.date_parsed }}
טען עוד