Hackerii care au declanșat atacul cibernetic la sistemele informatice ale mai multor spitale din țară cer o răscumpărare de 157.000 euro, după cum anunță Directoratul Național de Securitate Cibernetică (DNSC).

Specialiștii recomandă spitalelor și Ministerului Sănătății să nu ia legătura cu atacatorii și să nu se plătească răscumpărarea.

„Există o cerere de ransom (răscumpărare) de 3,5 BTC (aproximativ 157.000 EURO). În mesajul atacatorilor nu se specifică un nume de grupare care revendică acest atac, ci doar o adresă de e-mail. Atât Directoratul, cât și alte autorități cu atribuții în domeniul securității cibernetice implicate în analiza acestui incident RECOMANDĂ SĂ NU se ia legătura cu atacatorii și să nu se plătească răscumpărarea cerută!”, precizează DNSC.

Pe parcursul zilei de marți dimineață, s-au confirmat incidentele de securitate cibernetică la încă cinci spitale: Institutul de Fonoaudiologie și Chirurgie Funcțională ORL „Prof. Dr. D. Hociotă”, București, Sanatoriul de Pneumoftiziologie Brad, județul Hunedoara, Spitalul de Pneumoftiziologie Roșiorii de Vede, Spitalul Orășenesc Băicoi și Clinica Sante Călărași (clinică privată).

Spitalele care folosesc platforma HIPOCRATE, indiferent dacă au fost afectate sau nu, au primit încă de luni din partea DNSC o serie de recomandări pentru gestionarea corectă a situației: identificarea sistemelor afectate și izolarea lor imediată de restul rețelei, cât și de la internet, păstrarea unei copii a mesajului de răscumpărare și orice alte comunicări de la atacatori, aceste informații fiind utile pentru autorități sau pentru analiza ulterioară a atacului, să nu oprească echipamentul afectat pentru că oprirea acestuia va elimina dovezile păstrate în memoria volatilă (RAM), să colecteze și să păstreze toate informațiile de tip jurnal relevante, de pe echipamentele afectate, dar și de la echipamente de rețea, firewall, să examineze jurnalele de sistem pentru a identifica mecanismul prin care a fost compromisă infrastructura IT, să informeze imediat toți angajații și să notifice clienții și partenerii de afaceri afectați cu privire la incident și amploarea acestuia, să restaureze sistemele afectate pe baza copiilor de rezervă a datelor, după ce s-a efectuat o curățare completă a sistemelor. Este absolut necesar să se asigure că backup-urile sunt neafectate, actualizate și sigure împotriva atacurilor, dar și să se asigure că toate programele, aplicațiile și sistemele de operare sunt actualizate la ultimele versiuni și că toate vulnerabilitățile cunoscute sunt corectate.

DIICOT a anunțat cercetări in rem

 Și DIICOT a demarat o anchetă in rem (asupra faptei) pentru acces ilegal la un sistem, perturbarea funcţionării sistemelor informatice şi operaţiuni ilegale cu programe sau dispozitive informatice în cazul atacului cibernetic.

Cercetările au fost declanşate în urma sesizării a două societăţi comerciale care prestează servicii de mentenanţă a sistemului informatic integrat al spitalelor publice.

”La data de 12.02.2024, două societăţi comerciale care prestează servicii de mentenanţă a sistemului informatic integrat al spitalelor publice din România au sesizat Direcţia de Investigare a Infracţiunilor de Criminalitate Organizată şi Terorism cu faptul că, în zilele de 11 şi 12 februarie 2024, persoane neidentificate au atacat sistemul informatic integrat şi infrastructura hardware cu un virus de tip ransomware ce a avut drept consecinţă blocarea funcţionării acestui sistem şi a comunicaţiilor de orice fel, precum şi restricţionarea accesului la bazele de date informatice. Precizăm că în acest moment nu pot fi furnizate informaţii suplimentare privind stadiul anchetei, fiind incidente dispoziţiile art. 12, alin. 1, lit. e, din Legea 544/2001. Această etapă nu semnifică formularea unor acuzaţii împotriva vreunei persoane, ci instituie cadrul procesual necesar strângerii probelor în vederea stabilirii corecte şi complete a stării de fapt şi adoptării în cauză a unei soluţii legale şi temeinice”, au precizat comunicatorii DIICOT.