Масштабы недавнего киберинцидента в Национальной службе здравоохранения Дамфриса и Галлоуэя, о котором первоначально стало известно в начале марта 2024 года, могут оказаться на грани расширения и охватить более широкую шотландскую службу здравоохранения после того, как киберпреступная операция под названием Inc Ransom заявила, что обладать тремя терабайтами данных, украденных из Национальной службы здравоохранения Шотландии.
В сообщении в даркнете компания Inc Ransom заявила, что украла данные о более чем 140 000 сотрудников клиник и вспомогательных офисов, работающих в Национальной системе здравоохранения Шотландии, и пригрозила опубликовать их «в ближайшее время». Как это принято, в качестве доказательства они также разместили ряд предположительно украденных вещей. Предполагается, что этот небольшой дамп данных включает конфиденциальную информацию, включая медицинские заключения и письма пациентам.
Национальная служба здравоохранения Дамфрис и Галлоуэй, которая обслуживает общины на юго-западе Шотландии, впервые признала, что стала жертвой «целенаправленной и продолжающейся» кибератаки 15 марта, и на тот момент взаимодействовала с различными органами, включая полицию Шотландии, правительство Шотландии и Национальный центр кибербезопасности Великобритании (NCSC).
В то время в компании заявили, что могут возникнуть некоторые перебои в работе служб первой линии, и отметили риск того, что злоумышленники могут украсть конфиденциальные данные.
В новом обновлении NHS Дамфрис и Галлоуэй заявили, что им известно, что клинические данные, относящиеся к «небольшому числу пациентов», были опубликованы после атаки на их системы. «Мы абсолютно сожалеем о разглашении конфиденциальных данных пациентов в рамках этого преступного деяния», — заявил генеральный директор NHS Dumfries and Galloway Джефф Эйс. «Эта информация была опубликована хакерами, чтобы доказать, что она находится в их распоряжении… Службы по работе с пациентами продолжают эффективно функционировать в обычном режиме».
Он сказал, что Национальная служба здравоохранения Дамфриса и Галлоуэя будет обращаться к пациентам, чьи данные, как известно, были раскрыты, и что продолжается работа по ограничению любого их распространения.
«Национальная служба здравоохранения Дамфриса и Галлоуэя очень хорошо осознает потенциальное влияние этого развития на пациентов, чьи данные были опубликованы, а также общую тревогу, которая может возникнуть среди нашей популяции пациентов», — сказал Эйс.
Самый атакованный сектор
Согласно анализу угроз Check Point, здравоохранение является третьей отраслью, наиболее подвергаемой киберпреступникам в Великобритании, несмотря на хвастовство многих группировок, занимающихся вымогательством, о том, что они не атакуют такие организации, что является очевидной ложью.
В нем говорится, что, учитывая, насколько разрушительными могут быть кибератаки для служб интенсивной терапии, успешные нарушения в NHS гораздо более эффективны, чем в других отраслях, а это означает, что различные компоненты службы здравоохранения должны быть на высоте.
Глобальный директор по информационной безопасности Check Point (CISO) Дерик Митчелсон, который до 2022 года был директором по информационной безопасности Национальной службы здравоохранения Шотландии, а также входит в состав Национального консультативного совета по киберустойчивости Шотландии (NCRAB), сказал: «Здравоохранение — идеальное место охоты для киберпреступников. Он имеет обширную поверхность атаки, состоящую из множества разрозненных устаревших и новых технологий, а также опирается на обширную сеть сторонних поставщиков. Масштаб и сложность сервисов очень затрудняют обнаружение нарушений, подобных этому, до тех пор, пока данные не будут удалены или зашифрованы и не будут затронуты критически важные сервисы.
«Необходима целостная стратегия кибербезопасности, которая устранит сложность, сократит количество имеющихся продуктов безопасности и средств контроля», — сказал он. «Помимо существенной экономии средств, это обеспечит улучшенную видимость в реальном времени и уровень превентивной безопасности, снижая вероятность аналогичной атаки. Боюсь, что, не приняв таких изменений, мы продолжим сталкиваться с серьезными сбоями в работе наших наиболее важных и уязвимых услуг».
Инк выкуп
Inc Ransom входит в число новых операций по вымогательству, которые теперь, похоже, заполняют пустоту, образовавшуюся в результате недавних действий правоохранительных органов против таких программ, как ALPHV/BlackCat и LockBit. Впервые он появился в июле 2023 года и применяет стандартную практику двойного вымогательства, хотя, похоже, на данный момент он избегает модели «программы-вымогатели как услуга». Это технически грамотная операция, и, как и LockBit, она с энтузиазмом использует уязвимости нулевого дня.
Inc Ransom склонна отдавать предпочтение атакам на организации в секторах здравоохранения и образования: в 2024 году она назвала имена 20 жертв.
Исследователь и инженер-программист Check Point Лиад Дадаш заявил, что заявления группы о нападении на Национальную службу здравоохранения Шотландии заслуживают тщательного рассмотрения.
«Сообщается, что кибератака, публично раскрытая Inc Ransom 26 марта, связана с продолжающимся расследованием в NHS Dumfries and Galloway», — сказал он. «Что мы знаем, так это то, что многие документы, хранящиеся у киберпреступников, похоже, происходят из одного и того же региона, что повышает достоверность утверждений группы вымогателей».
