בית חולים בארה"ב שילם 55 אלף דולר כופר למרות שהיו לו גיבויים

בית חולים באינדיאנה שילם כופר בסכום של 55 אלף דולרים כדי להיפטר מנוזקת כופר שהדביקה את מערכות המחשוב בשבוע שעבר
ההדבקה אירעה ביום חמישי, 11 בינואר, בשבוע שעבר כאשר התוקפים פרצו לרשת של בית החולים האיזורי הנקוק בעיר גרינפילד, אינדיאנה.

התוקפים הפיצו את נוזקת הכופר SamSam שהצפינה את קבצים ושינתה את הסיומת שלהם ל-"I'm sorry" כך דווח בעיתון מקומי שדיווח על מתקפת הכופר בשבוע שעבר.

מערכות בית החולים הושפעו מיד מההתקפה. צוות ה-IT של בית החולים התערב והשבית את כל המערכות. העובדים התבקשו לכבות את כל המחשבים על מנת למנוע הפצה של נוזקת הכופר למחשבים נוספים.

יום למחרת, בית החולים כוסה בכרזות המבקשות מהעובדים לסגור את כל המחשבים עד שהמקרה יטופל.

בעוד כמה אתרי חדשות דיווחו כי בית החולים נסגר, הצוות רפואי והניהולי המשיכו את עבודתם, אבל עם עט ונייר במקום עם מחשבים והחולים המשיכו לקבל טיפול רפואי.

לבית החולים היו גיבויים אבל החליט לשלם את הכופר הנדרש
בית החולים טען כי למרות שיש ברשתו גיבויים, הם בחרו לשלם את דרישת הכופר של 4 ביטקוין, ששוויו היה כ-55 אלף דולר בזמן התשלום (שבת בבוקר).

הנהלת בית החולים הסבירה לעיתונות המקומית כי שחזור מגיבויים לא היה פתרון אפשרי מכיוון שהיה לוקח מספר ימים ואפילו מספר שבועות עד שהיו משחזרים ומחזירים את המערכות לפעולה תקינה. לכן החליטו בבית החולים לשלם את הכופר על מנת להחזיר את המצב לקדמותו במהירות.

עד יום שני, כל המערכות חזרו לפעול ובית החולים שחרר הצהרה באתר שלו בו הודה שאכן חווה מתקפת כופר אך לא הרבה בפרטים.

בעבר נוזקת הכופר SamSam חדרה דרך RDP
נוזקת הכופר SamSam זוהתה כבר לפני שנתיים ושימשה רק להתקפות ממוקדות. התוקפים שמשתמשים בנוזקה זו בדרך כלל סורקים טווחי כתובות IP ברשת ותרים אחר מחשבים עם חיבורי Remote Desktop (RDP) פתוחים שמיועדים לחיבור משתמשים מחוץ לרשת. התוקפים חודרים לרשתות גדולות באמצעות התקפות brute-force על RDP של תחנות הקצה בארגונים ואז מפיצים את הנוזקה לשאר המחשבים. ברגע שיש להם נוכחות חזקה מספיק ברשת, התוקפים פורסים את SamSam וממתינים שהארגון ישלם את דרישת הכופר.

בית החולים אומנם לא אישר את תרחיש ההתקפה הטיפוסי של SamSam, אך גם טען שההדבקה לא הייתה מקרה של עובד שפתח דואר אלקטרוני נגוע.

"ההתקפה הנ"ל היא חלק מטרנד שאנחנו רואים בשנים האחרונות של התקפות כופר שמנצלות חברות וארגונים שמאפשרים חיבורים מרחוק ללא שכבת אימות נוספת" מסביר אמיר כרמי, מנהל הטכנולוגיות בחברת אבטחת המידע ESET בישראל. "אנו ממליצים שלא לאפשר חיבורי RDP ללא חיבור VPN ו\או אימות דו שלבי עם סיסמה חד פעמית שנשלחת לנייד. כך לא ניתן לבצע את הפריצה בקלות רבה כזו."

עוד מוסיף כרמי כי "המקרה הנוכחי מחזק את חשיבות בדיקת הגיבויים בשילוב של כלים המאפשרים שחזור מהיר של מערכות קריטיות. גם במקרה שאין את הכלים הללו, אנו ממליצים לא לשלם כופר לתוקפים, פעולה שרק מהווה תמריץ נוסף עבורם לבצע התקפות נוספות ולחזק את תשתית התקיפה."