Віруси-шантажисти: кібератаки на німецькі лікарні
26 лютого 2016 р.Напевне, лише блискавична реакція працівників відвернула значну шкоду лікарні Lukas Hospital у західнонімецькому місті Нойс. Одного ранку вони помітили, що комп'ютерна система закладу почала давати збої. З'являлися віконця з помилками, а сама система працювала підозріло повільно.
"Тоді ми просто витягли все з розеток", - розповідає DW речник установки Андреас Кремер. "Комп'ютери, сервера, навіть поштовий сервер - ми пішли цілком оффлайн".
Прикра пригода трапилась більше двох тижнів тому, але сайт лікарні досі рекомендує пацієнтам дзвонити або ж надсилати факс - робота електронної пошти досі не налагоджена. Зловмисна програма змусила комп'ютерні системи зупинитись.
"Наш ІТ-відділ швидко зрозумів, що ми підчепили malware, зловмисне програмне забезпечення, яке шифрує дані. Через це, приміром, якщо рентгенівський апарат мав отримати дані з системи, то видавав помилку, тому що дані зашифровані, і він не може їх знайти", - пояснює Кремер.
Лікарня виявилася жертвою "вірусу-шантажиста" malware - такого типу зловмисної програми, який унеможливлює доступ користувача до своєї ж інформації. При цьому лікарня отримала завуальоване повідомлення: хакери вимагають сплати викупу в обмін на ключ розблокування.
Медична установа повідомила про випадок правоохоронні органи, зокрема Федеральне відомство кримінальної поліцї Німеччини, які почали розслідування, додає Кремер.
"Ми не отримали чіткої вимоги сплати грошей, проте бачили спливаючі вікна, які відкриваються, якщо не зупинити на комп'ютері "вірус-шантажист", - розповів він DW. Ламаною англійською вказувалось на анонімну адресу електронної пошти для зв'язку. "За порадою поліції, ми не стали на неї звертатись", - каже Кремер.
Як у старі добрі часи: папір, ручка, факс
Поки експерти служби безпеки лікарні розробляли спеціальну програму, щоб очистити заражену систему та просканувати більше ста серверів та дев'ятисот пристроїв, діяльність лікарні продовжувалась, як могла. Замість комп'ютерів працівники повернулися до паперів та ручок, а також старих добрих факсів, щоб вести документацію пацієнтів. "Операції з високим ризиком відклали через міркування безпеки, але 80-85 відсотків операцій відбулися за планом", - каже Кремер.
Однак робота все ж таки значно уповільнилась, колективу лікарні рано чи пізно доведеться переносити накопичені паперові нотатки за минулі тижні у комп'ютер.
Але спершу систему необхідно звільнити від уражених вірусом файлів.
Файли у блокаді
"У нас регулярно робляться резервні копії, тому це не проблема. Коли вірус зашифрував раніше продубльовані дані, ми їх просто відновимо", - пояснює Кремер.
Дані, що потрапили у "вірусну блокаду" між останнім резервним копіюванням та ураженням системи, можна буде ввести знову, якщо це результати лабораторних аналізів. Або ж їх можна буде відновити після аналізу зловмисного коду. "Насправді, це зачепить дані, записані протягом кількох годин", - пояснив представник закладу. Проте відновлення роботи всіх систем на попередньому рівні забере тижні. "Можливо, відновимо все не раніше початку літа", - припускає Кремер.
Не перший випадок
Через два дні після атаки на Lukas Hospital жертвою вірусу стала ще одна лікарня у німецькій землі Північний Рейн-Вестфалія. Наразі невідомо, чи був це той же вірус. "Наскільки зараз відомо, вірус проник до системи через прикріплений до електронного листа додаток", - розповів DW речник клініки Arnsberg Рихард Борнкесель. Співробітники знайшли вірус на одному з двохсот серверів організації, після чого вимкнули всю систему.
"На щаcтя, зачепило лише один сервер. Вірус почав шифрувати файли, але ми можемо просто відновити їх з резервної копії", - каже він. Догляд за пацієнтами був постійним, додає Борнкесель, оскільки усі важливі медичні пристрої працюють поза мережею. Розслідування триває, але атака навряд чи була спрямована саме на лікарню, каже речник клініки.
Крім того, як вдалось з'ясувати DW, також є щонайменше ще одна лікарня у цій же федеральній землі, яка вимкнула всі системи для упередження можливого зламу та подала до суду.
Викупи у Голлівуді
Про шантажування лікарень задля отримання викупу повідомляють і в інших частинах світу, зокрема у американському штаті Каліфорнія. Цього місяця голлівудська лікарня заплатила хакерам близько 17 тисяч доларів у біткоінах.
"Найшвидшим та найефективнішим способом відновити роботу систем та адміністрації було виплатити викуп та отримати ключ для розблокування", - йшлося в заяві президента медичного центру Hollywood Presbyterian Аллена Стефанека.