Ransomware mod NHS-hospital
Ransomware blev forsidestof i 2017, da WannaCry, et af de største international cyberangreb til dato, ramte store organisationer verden over. Et af de mest højprofilerede ofre var NHS (National Health Service) i Storbritannien. Denne artikel kigger på, hvordan ransomware-angrebet mod NHS opstod, og hvad det kan lære os om at reducere risikoen for ransomware-angreb mod din virksomhed.
Hvornår skete NHS-angrebet?
12. maj 2017 blev NHS i Storbritannien ramt af en ransomware kendt som WannaCry. Dette store ransomware-angreb efterlod hospitaler ude af stand til at fungere, fordi kritiske systemer var gået ned. Tusindvis af operationer skulle aflyses, og personalet kunne ikke tilgå patientjournaler eller sågar bruge telefonsystemerne.
NHS England har anslået, at ca. en tredjedel af de 236 NHS-trusts i England blev ramt, hvilket skabte fortroligheds- og sundhedsbekymringer for personalet og patienterne, som blev ofre for det efterfølgende databrud.
Hvad er WannaCry?
I maj 2017 blev WannaCry verdens mest berygtede form for ransomware, der ramte 230.000 computere globalt på bare én enkel dag. WannaCry-angrebet blev hurtigt standset, men variationer af den originale WannaCry er stadig aktive.
Som en orm er WannaCry særligt svær at stoppe, da den kan inficere enheder og automatisk bevæge sig videre på netværk, hvilket udsætter et stort antal enheder for én enkelt infektion. WannaCry er kun én af mange notoriske former for ransomware. Andre omfatter Sodinokibi og Ryuk.
Hvad er Eternalblue?
Det exploit, der før udnyttede sårbarheden i Windows, er kendt som Eternalblue, men det blev ikke udviklet af hackere. I stedet blev det udviklet af det amerikanske National Security Agency (NSA). Eternalblue blev desværre stjålet af en hackergruppe kendt som The Shadow Brokers og blev brugt til at lave WannaCry. Microsoft lavede hurtigt en rettelse, men enhver Windows-pc, der ikke er blevet opdateret siden, er stadig sårbar.
Eternalblue udnytter SMBv1, en gammel Microsoft-netværkskommunikationsprotokol. Blot ved at sende en skadelig pakke til den ønskede server kan malwaren sprede sig hurtigt ud på netværket, hvilket udgør en betydelig sikkerhedsrisiko på få øjeblikke.
Andre typer ransomware, der følger en lignende tilgang, omfatter Petya (også baseret på Eternalblue), Cerber og Locky.
NHS-angreb – hvad skete der?
WannaCry-angrebene var ikke rettet mod specifikke organisationer. I stedet var de spekulative og ledte efter enhver mulighed for at inficere netværk med kendte svagheder i deres sikkerhed.
Selvom WannaCry ikke målrettet gik efter NHS, gjorde dårlig sikkerhed og forældede systemer det nemt for angrebet. Britiske hospitaler havde mange computere med ikke-opdaterede versioner af Windows 7, så store dele af netværket var sårbare på samme tid, og ransomwaren spredte sig hurtigt overalt i verden.
Ud over at inficere lokale trust-netværk var WannaCry-malwaren i stand til at sprede sig over N3-netværket, hvilket forbinder alle NHS-websteder. Men angrebet kunne ikke sprede sig via NHS-mailsystemet, hvilket forhindrede endnu flere data i at blive taget som gidsler eller brugt til phishing.
Hvordan reagerede NHS på angrebet?
Betalte NHS WannaCry-løsepengene?
NHS England og National Crime Agency rapporterede, at NHS-organisationer ikke betalte løsepengene. Selvom sundhedsministeriet ikke ved, hvor meget forstyrrelsen af tjenester kostede NHS, er nogle estimater helt oppe på 116 millioner amerikanske dollar.
Cyberangrebet blev stoppet af sikkerhedsekspert Marcus Hutchins, som identificerede et ikke-registreret domæne, som ransomwaren var programmeret til automatisk at tjekke. Ved at registrere domænet kunne han lave en kill switch. Det britiske National Cyber Security Centre brugte de følgende dage på at beskytte sig mod forsøg på at tage domænet ned, indtil der blev fundet en dekrypteringsmetode.
Hvad var konsekvenserne ved NHS-ransomware-angrebet?
Mindst 80 ud af 236 NHS-trusts i Storbritannien blev påvirket af virussen foruden de 603 primære pleje- og andre NHS-organisationer og 596 lægepraksisser.
Cyberangrebet blev stoppet af sikkerhedsekspert Marcus Hutchins, som identificerede et ikke-registreret domæne, som ransomwaren var programmeret til automatisk at tjekke. Ved at registrere domænet kunne han lave en kill switch. Det britiske National Cyber Security Centre brugte de følgende dage på at beskytte sig mod forsøg på at tage domænet ned, indtil der blev fundet en dekrypteringsmetode.
Andre eksempler på ransomware-angreb mod store hospitaler
NHS-ransomwaren er ikke den eneste højprofilerede hændelse, som involverer sundhedscentre. I juli 2019 blev Springhill Medical Center i Alabama ramt af et ransomware-angreb, hvilket resulterede i et netværkssvigt, som lukkede monitoreringssystemer ned for fødeafdelingen. Som et resultat lagde en af mødrene, Teiranni Kidd, sag an, efter hendes barn blev født med en hjerneskade og senere døde som et resultatet af angrebet, hvilket ændrede måden, som deres helbred blev overvåget på. Det blev det første angivelige dødsfald som et resultat af ransomware.
Et andet alvorligt ransomware-angreb i nyere tid skete mod United Health Services i september 2020. Deres IT-netværk var lukket i dagevis af Ryuk-ransomware, hvilket resulterede i aflyste aftaler, patienter, der blev flyttet til andre steder, og afhængighed af papirjournaler. Det tog næsten en måned at genetablere og har angiveligt kostet i omegnen af $67 millioner.
Ransomware-angreb mod hospitaler er desværre mere og mere udbredt. Én rapport afslører, at 45 millioner personer blev påvirket af angreb mod sundhedsvæsnet i 2021, hvilket er en stor stigning fra 34 millioner i 2020. En anden undersøgelse viste, at 81% af sundhedsorganisationer i Storbritannien blev ofre for ransomware-angreb i 2021.
Hvad kan virksomhedsejere lære af dette?
Sundhedsvæsnet blev advaret om risiciene ved cyberangreb mod NHS et år før WannaCry-angrebet, og selvom der blev arbejdet for at foretage ændringer, var det for sent. De blev også kritiseret for at tillade brugen af gamle Windows-systemer som f.eks. Windows XP, som Microsoft stoppede med at supportere i 2014.
Den primære lærestreg fra dette højprofilerede angreb er at prioritere bedste praksisser for cybersikkerhed og implementere opdateringsadministration. Selvom det kan være svært i et krævende miljø, er det afgørende for at forhindre sårbarheder, som kan udnyttes af hackere til at få adgang til din virksomheds netværk og server.
Udover det bør bedste praksisser for cybersikkerhed følges, f.eks.:
- At oprette et IT-katastrofeberedskab
- At implementere værktøjer til ransomware-beskyttelse
- At oplære medarbejdere i at undgå phishing-/social engineering-angreb
- At oprette sikre datasikkerhedskopier, så følsomme dokumenter kan gendannes
Ved at kombinere disse elementer kan risikoen for at opleve et angreb reduceres, hvilket minimerer nedetid og genoprettelse. Hvis din virksomhed bliver offer for et angreb, skal du være opmærksom på, at mange sikkerheds- og regeringsmyndigheder har oprettet dekrypteringsværktøjer til at hjælpe med at gendanne data, som er stjålet af visse typer kendt ransomware.
Få mere at vide om store ransomware-angreb i vores casestudier om angrebene i Atlanta og Baltimore.
Lad Avast beskytte din virksomhed mod ransomware-angreb
Sikkerhedskopier og effektiv sikkerhedsimplementering er afgørende for at beskytte din virksomhed på ransomware-angreb. Avasts cybersikkerhedsløsninger til små virksomheder lader dig vælge graden af beskyttelse, der passer bedst til din virksomheds størrelse og behov, hvilket hjælper dig med at beskytte enheder mod ransomware og andre typer cyberangreb.
© 2024 Gen Digital Inc.