Na nemocnici v Brně zaútočil vyděračský virus, špitál povolal krizového IT manažera
Podle zjištění Aktuálně.cz útočník vnikl do IT systému brněnské nemocnice prostřednictvím kryptoviru Defray, je typický při požadování výkupného.
Publikováno: 20.3.2020
"Část systému je obnovena, pracuje se na tom ve dne v noci. Na plné obnovení to bude ještě nějaký týden trvat. Já doufám, že se v pátek přehoupneme přes polovinu," popsal Aktuálně.cz současný stav odstraňování následků útoku ředitel nemocnice Jaroslav Štěrba.
Ačkoliv se kvůli tomu odložily plánované operace, čemuž do značné míry přispěla i epidemie koronaviru, základní provoz nemocnice je zajištěný.
Útok se spustil ve dvě hodiny ráno, virus začal postupně vyřazovat jednotlivé složky IT systému nemocnice. Špitál reagoval nejjednodušším způsobem. "Bylo potřeba vypnout všechny počítače," popsal v den události ředitel Štěrba. V nemocnici se přitom provádí testy při podezření na koronovirus, této činnosti se ale útok nedotknul.
Podle zjištění deníku Aktuálně.cz ze dvou spolehlivých zdrojů provoz nemocnice ochromil kryptovirus Defray. Šlo o cílený phishingový útok. Podstata phishingu spočívá v podvodném vylákání citlivých informací, kdy se základní nástroj útoku, nejčastěji email, tváří jako důvěrně známý. Po jeho otevření kryptovirus pronikne do systému, kde jeho klíčové složky zašifruje.
"Pro Defray je typické to, že se zaměřuje na zdravotnická zařízení. Je to čistě vyděračský ransomware (ransom je výkupné, pozn. aut.). Kam se dostane, to zašifruje," popsal Aktuálně.cz v obecné rovině podstatu zmíněného kryptoviru Aleš Špidla, prezident expertního spolku Český institut manažerů informační bezpečnosti.
Defray napadá v první linii správce systému
Smyslem útoku je donutit instituci zaplatit za to, že útočník jim napadené části systému odblokuje. Špidla upozorňuje, že pro dešifrování souborů se základní taxa pohybuje kolem pěti tisíci dolarů v bitcoinech. Zda je požadavek na výkupné součástí ataku na brněnskou nemocnici, není oficiálně jasné. Ale podle informací Aktuálně.cz špitál skutečně obdržel adresu, kam má výkupné poslat.
Cílený phishing v podání kryptoviru Defray vypadá obvykle tak, že jeho průvodní email má náležitosti komunikace známého odesilatele. Jinými slovy vypadá ve všech ohledech tak, že ho poslal někdo, s kým je osoba, která ho otevře, v běžném kontaktu. Před zasláním takového mailu útočník tráví čas zjišťováním, s kým vybraný člověk komunikuje, jakou ochranu napadená instituce používá a v čem je tato ochrana zranitelná.
V první linii útoku si hacker vybere uživatele respektive počítač s velkými právy, ideálně jde po správci systému. Další jeho cesta je pak snadná. "Když získá kontrolu nad správou sítě, má celou instituci na dlani. Může začít útočit dovnitř samotného systému," vysvětlil Aktuálně.cz další typický rozměr útoku kryptovirem Defray René Pospíšil, manažer české pobočky firmy Bitdefender, jež se zabývá kybernetickou ochranou.
Útoky organizované skupiny
"Dnes se tyto útoky snaží zneužít situaci, která souvisí s nemocí Covid-19. V rámci nasazení bezpečnostních ochranných mechanismů jsou nemocnice velmi zranitelné, což útočníci dobře vědí. V případě takových kritických situací, jako je tato, instituce často sáhnou k tomu, že zaplatí," upozorňuje Pospíšil.
Kryptovirus Defray je také zákeřný v tom, že zpravidla maže on-line zálohy dat napadeného systému. Jinými slovy on-line zálohy spojené s počítači, nad kterými útočník získal kontrolu, zničí. V takovém případě je pak nutná obnova části nebo, podle rozsahu zasažení, celé IT infrastruktury, což je finančně velmi nákladné.
Za útoky kryptovirem Defray běžně stojí organizované skupiny s jasnou strukturou. Důvodem je, že jde v důsledku o výnosný vyděračský byznys. "To už nejsou šmudlíci s mikinou a bednou redbullu," říká prezident spolku manažerů kyberbezpečnosti Špidla. Problémem však bývá, že sami útočníci nejsou někdy schopní postižené soubory dešifrovat. Napadený si často musí pomoci sám prostřednictvím dekryptovacích programů.
Do Brna zamířil expert z pražské nemocnice
Podle zjištění deníku Aktuálně.cz požádala brněnská nemocnice v souvislosti s vypořádáváním se s následky útoku o pomoc náměstka pro informatiku a digitální transformace Všeobecné fakultní nemocnice v Praze Vlastimila Černého. Do Brna si s sebou vzal tým několika expertů, kolegů ze svého mateřského špitálu.
"Je to krizový manažer, který u nás bude několik týdnů. Pomáhají nám s náběhem, protože ten náraz byl skutečně velký. Tuto pomoc jsme uvítali, navíc v době koronaviru. Pak se vrátí zpátky na své mateřské pracoviště," říká ředitel brněnské nemocnice Štěrba.
Štěrbův špitál také poptává několik hardwarových multiduplikátorů pevných disků. Zařízení funguje tak, že je schopné rozkopírovat důležitá data ze zachovaného disku, nejčastěji zálohy, do postižených disků tak, aby fungovaly. "Potřebujeme je právě proto, abychom mohli obnovit činnost centrální informatiky," vysvětluje ředitel.
Vedle expertů z Národního úřadu pro kybernetickou a informační bezpečnost, kteří objasňují povahu útoku, jsou na místě i příslušníci Národní centrály proti organizovanému zločinu. Útok se prověřuje pro podezření z trestného činu. "Za dozoru Krajského státního zastupitelství v Brně byly zahájeny úkony trestního řízení, ke kvalifikaci se zatím vyjadřovat nebudeme," řekl Aktuálně.cz mluvčí brněnských žalobců Hynek Olma.