Útok ransomwaru na nemocnice NHS
Ransomware se dostal do zpravodajství v roce 2017, kdy WannaCry, jeden z doposud největších mezinárodních kybernetických útoků, zasáhl významné organizace po celém světě. Jednou z obětí, která přitahovala nejvíce pozornosti, byla britská organizace NHS (National Health Service). Tento článek se zabývá tím, jak k útoku ransomwaru na NHS došlo, jaké byly důsledky tohoto útoku a jaká ponaučení si z něj můžete odnést, abyste dokázali omezit riziko útoků ransomwaru na svou firmu.
Kdy k útoku na NHS došlo?
12. května 2017 byla britská organizace NHS zasažena útokem ransomwaru zvaného WannaCry. Tento rozsáhlý útok ransomwaru zastavil chod nemocnic, protože vyřadil z provozu nejdůležitější systémy. Bylo nutné zrušit tisíce operací a personál nemocnic se nemohl dostat k záznamům pacientů ani používat telefonní systémy.
Organizace NHS England odhadla, že byla postižena přibližně třetina z jejích 236 svěřenských organizací v Anglii. Při následném úniku dat bylo ohroženo soukromí a zdraví personálu a pacientů.
Co je WannaCry?
WannaCry se v květnu 2017 stal světově nejznámější formou ransomwaru, když během jednoho dne zasáhl kolem 230 000 počítačů po celé zeměkouli. Útok byl sice rychle zastaven, ale jeho varianty stále zůstávají aktivní.
Protože se WannaCry šíří jako červ, je velmi obtížné ho zastavit. Dokáže infikovat zařízení a automaticky se pohybovat po síti, takže jedna infekce může ohrozit velké množství zařízení. WannaCry je jen jednou z mnoha známých forem ransomwaru. Mezi ty další se řadí například Sodinokibi nebo Ryuk.
Co je Eternalblue?
Exploit, který zneužil zranitelnost operačního systému Windows, je znám jako Eternalblue, nebyl ale vytvořen hackery. Byl vyvinut americkou Národní bezpečnostní agenturou (NSA). Bohužel byl ukraden hackerskou skupinou The Shadow Brokers a použit k vytvoření ransomwaru WannaCry. Microsoft sice rychle vydal opravu, ale všechny počítače s Windows, ve kterých doposud nebyla nainstalována, stále zůstávají zranitelné.
Eternalblue využívá SMBv1, starý síťový komunikační protokol Microsoftu. Pouhým odesláním škodlivého paketu na cílový server se tento malware dokáže rychle šířit po síti, takže během pár okamžiků vznikne závažná bezpečnostní hrozba.
Mezi další typy ransomwaru, které používají podobnou taktiku, patří Petya (také vycházející z Eternalblue), Cerber a Locky.
K čemu při útoku na NHS došlo?
Útoky WannaCry necílily na konkrétní organizace. Šlo spíše o spekulativní útoky, které hledaly příležitost k infikování sítí prostřednictvím známých nedostatků v zabezpečení.
WannaCry sice necílil přímo na NHS, ale kvůli nedostatečnému zabezpečení a zastaralým systémům to měl snazší. V britských nemocnicích byla provozována spousta počítačů s neaktualizovanými verzemi Windows 7, takže vůči tomuto rychle a celosvětově se šířícímu ransomwaru byly zranitelné velké části sítě.
Malware WannaCry neinfikoval jen místní sítě svěřenských organizací, ale také síť N3, která propojuje jednotlivá pracoviště NHS. Útok se však nebyl schopen šířit přes e-mailový systém NHS, což zabránilo tomu, aby byla další data zadržena k výkupnému nebo zneužita k phishingu.
Jak organizace NHS na útok zareagovala?
Zaplatila organizace NHS kvůli WannaCry nějaké výkupné?
Instituce NHS England a National Crime Agency oznámily, že organizace NHS nezaplatily za nemocnice žádné výkupné. Ministerstvo zdravotnictví sice neví, jak velké náklady vznikly NHS v důsledku výpadku služeb, ale podle některých odhadů to mohlo být až 92 milionů liber (asi 2,5 miliardy Kč).
Tento kybernetický útok zastavil počítačový bezpečnostní výzkumník Marcus Hutchins, který odhalil neregistrovanou doménu, již měl ransomware automaticky kontrolovat. Tuto doménu si zaregistroval a dokázal na ní vytvořit „nouzový vypínač“. V následujících dnech muselo britské národní centrum kybernetické bezpečnosti chránit tuto doménu před pokusy o její vyřazení z provozu, dokud nebyla vyvinuta metoda pro dešifrování dat.
Jaké byly důsledky útoku ransomwaru na NHS?
Tímto útokem bylo postiženo nejméně 80 z 236 svěřenských organizací NHS ve Spojeném království a dále 603 pracovišť primární péče a dalších organizací NHS a 595 ordinací praktických lékařů.
Tento kybernetický útok zastavil počítačový bezpečnostní výzkumník Marcus Hutchins, který odhalil neregistrovanou doménu, již měl ransomware automaticky kontrolovat. Tuto doménu si zaregistroval a dokázal na ní vytvořit „nouzový vypínač“. V následujících dnech muselo britské národní centrum kybernetické bezpečnosti chránit tuto doménu před pokusy o její vyřazení z provozu, dokud nebyla vyvinuta metoda pro dešifrování dat.
Další příklady útoků ransomwaru na významné nemocnice
Napadení NHS ransomwarem není jediným útokem na zdravotnická zařízení, který přitáhl pozornost. V červenci 2019 zasáhl útok ransomwaru Springhill Medical Center v Alabamě, v jehož důsledku přestaly fungovat monitorovací systémy na tamním porodním oddělení. Jedna z matek, Teiranni Kidd, podala žalobu, protože se jí narodilo dítě s poškozením mozku, které později kvůli narušení funkčnosti monitorovacích systémů zemřelo. Jednalo se o první údajné úmrtí v důsledku ransomwarového útoku.
Dalším příkladem vysoce škodlivého útoku ransomwaru v posledních letech je útok na organizaci United Health Services v září 2020. Ransomware Ryuk vyřadil z provozu její síť informačních technologií, v důsledku čehož musela zrušit návštěvy u lékařů, přestěhovat pacienty jinam a spoléhat na papírové záznamy. Obnovení provozu trvalo téměř měsíc, přičemž náklady se odhadují na 67 milionů dolarů.
Útoky ransomwaru na nemocnice jsou bohužel stále častější. Jedna zpráva tvrdí, že útoky na zdravotnictví v roce 2021 postihly 45 milionů osob, což oproti 34 milionům v roce 2020 představuje výrazný nárůst. Další průzkum zjistil, že v roce 2021 se obětí ransomwarových útoků stalo 81 % zdravotnických organizací ve Spojeném království.
Jaká ponaučení si mohou vzít majitelé firem?
Rok před útokem WannaCry vydalo britské Ministerstvo zdravotnictví varování před rizikem kybernetických útoků na NHS. Začalo sice pracovat na určitých opatřeních, ale už bylo pozdě. Zároveň se stalo terčem kritiky za to, že umožnilo používání tak zastaralého systému, jakým je Windows XP, jehož podporu ukončil Microsoft v roce 2014.
Hlavním ponaučením z tohoto významného útoku je upřednostnění osvědčených postupů kybernetické bezpečnosti a zavedení správy oprav. V náročném prostředí to může být obtížné, ale jde o nezbytný krok pro ochranu před zranitelnostmi, jejichž zneužitím se hackeři mohou dostat do firemní sítě a serveru.
Zároveň je třeba dodržovat osvědčené postupy kybernetické bezpečnosti, mezi které patří:
- Sestavení plánu pro zotavení IT po havárii
- Implementace nástrojů na ochranu před ransomwarem
- Školení personálu, kterým lze zabránit útokům využívajícím phishing a sociální inženýrství
- Vytváření bezpečných záloh dat pro účely obnovení citlivých dokumentů
Společným zavedeným těchto opatření lze omezit riziko útoku a minimalizovat tak prostoje i dobu potřebnou k obnovení provozu. Pokud se vaše firma stane obětí nějakého útoku, pamatujte, že řada bezpečnostních a státních organizací vytvořila dešifrovací nástroje, které vám pomohou obnovit data zašifrovaná určitými známými typy ransomwaru.
Chcete-li se dozvědět více o závažných útocích ransomwaru, přečtěte si naše případové studie o útocích na města Atlanta a Baltimore.
Umožněte Avastu chránit vaši firmu před útoky ransomwaru
Zálohy a implementace účinného zabezpečení jsou nezbytnými kroky pro ochranu vaší firmy před útoky ransomwaru. Řešení Avastu pro kybernetické zabezpečení malých firem vám umožní zvolit úroveň ochrany, která nejlépe vyhovuje velikosti a požadavkům vaší firmy, a ochránit tak zařízení před ransomwarem a dalšími typy kybernetických útoků.
© 2024 Gen Digital Inc.