Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Zagrożenie dla amerykańskiej służby zdrowia: wzmacnianie odporności na ataki z użyciem oprogramowania ransomware

Udostępnij
Grupa pracowników medycznych patrzących na tablet

Sektor służby zdrowia mierzy się z szybko rosnącą gamą cyberzagrożeń, a ataki z użyciem oprogramowania wymuszającego okup, czyli ransomware, należą do najistotniejszych. Połączenie cennych danych pacjentów, sieci połączonych urządzeń medycznych oraz ograniczonej liczby pracowników operacyjnych zajmujących się informatyką i cyberbezpieczeństwem, których zasoby są zbyt małe w stosunku do potrzeb, sprawia, że organizacje służby zdrowia mogą stać się idealnymi celami dla źródeł zagrożeń. W miarę tego, jak operacje służby zdrowia są coraz bardziej scyfryzowane — od elektronicznej dokumentacji medycznej (EDM) po platformy telemedyczne i połączone z siecią urządzenia medyczne — rośnie złożoność obszaru podatnego na ataki szpitali, co jeszcze bardziej naraża je na te zagrożenia.

W poniższych sekcjach przedstawiono przegląd bieżącego krajobrazu cyberbezpieczeństwa w sektorze służby zdrowia, podkreślając status tej branży jako istotnego celu ataków, rosnącą częstotliwość ataków z użyciem oprogramowania ransomware oraz poważne konsekwencje tych zagrożeń — finansowe i dotyczące opieki nad pacjentami.

W wideo z dyskusją prowadzoną przez Sherrod DeGrippo, która jest dyrektorem ds. strategii analizy zagrożeń w firmie Microsoft, szczegółowo przeanalizowano te krytyczne kwestie, przedstawiając pochodzące od ekspertów szczegółowe informacje na temat źródeł zagrożeń, strategii odzyskiwania i luk w zabezpieczeniach sektora służby zdrowia.

Podsumowanie Centrum analizy zagrożeń Microsoft: służba zdrowia

Sherrod DeGrippo, dyrektor ds. strategii analizy zagrożeń w Centrum analizy zagrożeń Microsoft, prowadzi ożywioną dyskusję przy okrągłym stole z ekspertami ds. analizy zagrożeń i bezpieczeństwa w sektorze służby zdrowia, którzy analizują między innymi to, co sprawia, że sektor ten jest wyjątkowo podatny na ataki z użyciem oprogramowania ransomware, jakich taktyk używają grupy hakerskie i jak zadbać o utrzymanie odporności.
  • Według Centrum analizy zagrożeń Microsoft w drugim kwartale 2024 roku sektor służby zdrowia/zdrowia publicznego znalazł się w pierwszej dziesiątce najbardziej dotkniętych branż1.
  • Pojawienie się oprogramowania ransomware udostępnianego jako usługa (RaaS) spowodowało obniżenie bariery wejścia dla atakujących bez wiedzy technicznej. Jednocześnie Rosja zapewnia bezpieczną przystań dla grup wykorzystujących oprogramowanie ransomware. W wyniku tego liczba ataków z użyciem oprogramowania ransomware wzrosła od 2015 roku o 300%2.
  • W tym roku obrachunkowym 389 amerykańskich instytucji służby zdrowia zostało zaatakowanych za pomocą oprogramowania ransomware, co spowodowało wyłączenia sieci i systemów, opóźnienia kluczowych procedur medycznych i przekładanie umówionych terminów3. Te ataki są kosztowne: zgodnie z jednym z raportów branżowych na samych przestojach organizacje służby zdrowia tracą nawet 900 000 USD dziennie4.
  • Dla 99 organizacji służby zdrowia, które przyznały się do zapłacenia okupu i podały jego kwotę, mediana zapłaconej kwoty wyniosła 1,5 mln USD. Natomiast średnia zapłaconej kwoty wyniosła 4,4 mln USD5.

Poważny wpływ na opiekę nad pacjentami

Zakłócenia w funkcjonowaniu służby zdrowia wywołane atakiem z użyciem oprogramowania ransomware mogą poważnie wpłynąć na zdolność skutecznej obsługi pacjentów — nie tylko w szpitalach dotkniętych atakami, ale też w pobliskich szpitalach, które są zmuszone przejąć opiekę nad pacjentami z ich oddziałów ratunkowych6.

Przeanalizujmy wnioski z niedawnego badania ilustrujące, jak atak z użyciem oprogramowania ransomware skierowany przeciwko czterem szpitalom (dwóm zaatakowanym i dwóm niedotkniętym atakiem) doprowadził do zwiększenia liczby pacjentów na oddziałach ratunkowych, wydłużenia czasów oczekiwania i dodatkowego obciążenia zasobów, szczególnie jeśli chodzi o opiekę, w przypadku której liczy się czas, jak pomoc dotycząca udarów, w dwóch pobliskich szpitalach niedotkniętych atakiem7.
Wzrost liczby przypadków udarów: atak z użyciem oprogramowania ransomware znacznie obciążył cały ekosystem służby zdrowia, ponieważ szpitale niedotknięte atakiem musiały przejąć opiekę nad pacjentami z zaatakowanych szpitali. Liczba aktywacji kodów dotyczących udarów w pobliskich szpitalach wzrosła niemal dwukrotnie, z 59 do 103. Natomiast liczba potwierdzonych udarów wzrosła o 113,6% — z 22 do 47 przypadków.
Wzrost liczby zatrzymań akcji serca: atak obciążył system służby zdrowia — liczba przypadków zatrzymania akcji serca w szpitalu niedotkniętym atakiem wzrosła z 21 do 38, co stanowi wzrost o 81%. Odzwierciedla to kaskadowe skutki wystąpienia naruszenia w jednej placówce, które zmusza pobliskie szpitale do zajmowania się większą liczbą przypadków krytycznych.
Spadek wskaźnika przeżycia w przypadkach z korzystnymi wynikami neurologicznymi: wskaźnik przeżycia dla pozaszpitalnych zatrzymań akcji serca z korzystnymi wynikami neurologicznymi drastycznie spadł w przypadku szpitali niedotkniętych atakiem — z 40% przed atakiem do 4,5% na etapie ataku.
Wzrost liczby przyjazdów karetek: na etapie ataku odnotowano wzrost liczby przyjazdów służb ratownictwa medycznego do szpitali „niedotkniętych atakiem” o 35,2%. Sugeruje to istotny poziom przekierowania ruchu karetek pogotowia z powodu wywołanych przez oprogramowanie ransomware zakłóceń w szpitalach dotkniętych atakiem.
Wzrosty liczby pacjentów: ponieważ atak negatywnie wpłynął na cztery lokalne szpitale (dwa zaatakowane i dwa niedotknięte atakiem), oddziały ratunkowe w szpitalach niedotkniętych atakiem odnotowały znaczny napływ pacjentów. Dzienna liczba pacjentów w szpitalach niedotkniętych atakiem wzrosła o 15,1% na etapie ataku w porównaniu z etapem przed atakiem.
Dodatkowe zakłócenia w opiece: w trakcie ataków w szpitalach niedotkniętych atakiem odnotowano znaczny wzrost liczby pacjentów odchodzących bez zostania obsłużonym, czasów oczekiwania w poczekalniach i całkowitej długości pobytu przyjętych pacjentów. Na przykład średni czas oczekiwania w poczekalni wzrósł z 21 minut przed atakiem do 31 minut w trakcie ataku.

Analizy przypadków dotyczące oprogramowania ransomware

Ataki z użyciem oprogramowania ransomware w sektorze służby zdrowia mogą mieć fatalne skutki nie tylko dla atakowanych organizacji, ale też dla opieki nad pacjentami i stabilności operacyjnej. Poniższe analizy przypadków ilustrują dalekosiężne skutki ataków z użyciem oprogramowania ransomware dla różnych typów organizacji służby zdrowia, od dużych systemów szpitalnych po małe placówki wiejskie. Podkreślono w nich różne sposoby, w jakie atakujący infiltrują sieci, i wynikające z tego zakłócenia w świadczeniu podstawowych usług służby zdrowia.
  • Atakujący wykorzystali naruszone poświadczenia do uzyskania dostępu do sieci za pośrednictwem podatnej na ataki bramy dostępu zdalnego bez uwierzytelniania wieloskładnikowego. W ramach podwójnego wymuszenia zaszyfrowali infrastrukturę krytyczną i wydobyli poufne dane, grożąc ich ujawnieniem w razie niezapłacenia okupu.

    Skutki:     atak wywołał zakłócenia, uniemożliwiając 80% usługodawców służby zdrowia i aptek weryfikowanie stanu ubezpieczenia lub przetwarzanie roszczeń ubezpieczeniowych. 
  • Atakujący wykorzystali lukę w zabezpieczeniach w starszym oprogramowaniu szpitala bez zastosowanych poprawek, a następnie spenetrowali sieć i naruszyli rejestry dotyczące planowania terminów i dokumentacji medycznej pacjentów. W ramach taktyki podwójnego wymuszenia wydobyli poufne dane i zagrozili ich ujawnieniem w razie niezapłacenia okupu.

    Skutki: atak zakłócił funkcjonowanie, powodując odwołanie terminów, opóźnienia operacji i przejście na procesy ręczne, co obciążyło personel i opóźniło zapewnianie opieki. 
  • Atakujący uzyskali dostęp do sieci szpitalnej za pomocą wiadomości e-mail wyłudzających informacje i wykorzystali luki w zabezpieczeniach, dla których nie zastosowano poprawek, aby wdrożyć oprogramowanie ransomware i zaszyfrować systemy opieki nad pacjentami i elektronicznej dokumentacji medycznej. W ramach taktyki podwójnego wymuszenia wydobyli poufne dane pacjentów oraz finansowe i zagrozili ich ujawnieniem w razie niezapłacenia okupu. 

    Skutki:     atak spowodował zakłócenie funkcjonowania czterech szpitali i ponad 30 klinik, opóźniając leczenie i powodując odsyłanie pacjentów z nagłych przypadków, w związku z obawami dotyczącymi ujawnienia danych. 
  • W lutym 2021 roku atak z użyciem oprogramowania ransomware sparaliżował systemy komputerowe wiejskiego szpitala zapewniającego 44 łóżka. Wiązało się to z koniecznością stosowania obsługi ręcznej przez trzy miesiące i poważnie opóźniło obsługę roszczeń ubezpieczeniowych.

    Skutki:     Niezdolność szpitala do terminowego pobierania płatności doprowadziła do trudności finansowych, pozbawiając lokalną społeczność wiejską kluczowych usług służby zdrowia. 

Amerykański sektor służby zdrowia stanowi atrakcyjny cel dla cyberprzestępców motywowanych finansowo ze względu na szeroki obszar podatny na ataki, używanie starszych systemów i niespójne protokoły zabezpieczeń. Połączenie uzależnienia służby zdrowia od technologii cyfrowych, wykorzystywania w nich poufnych danych i ograniczeń zasobów, z jakimi zmaga się wiele organizacji — często ze względu na niewielkie marże — ogranicza zdolność tych organizacji do pełnego zainwestowania w cyberbezpieczeństwo, co czyni je szczególnie podatnymi na ataki. Ponadto organizacje służby zdrowia priorytetowo traktują opiekę nad pacjentami bez względu na koszty, co może skłaniać je do płacenia okupów w celu uniknięcia zakłóceń.

Sektor znany z płacenia okupów

Jednym z powodów, dla których oprogramowanie ransomware stało się tak istotnym problemem dla służby zdrowia, jest wiedza o tym, że ten sektor płaci okupy. Organizacje służby zdrowia na pierwszym miejscu stawiają opiekę nad pacjentami i często są skłonne zapłacić miliony dolarów, aby uniknąć zakłóceń.

Jak wynika z niedawnego raportu opartego na badaniu przeprowadzonym wśród 402 organizacji służby zdrowia, 67% z nich doświadczyło w ubiegłym roku ataku z użyciem oprogramowania ransomware. W 2024 roku 53% z tych organizacji przyznało się do zapłacenia okupu — w porównaniu z 42% w 2023 roku. W raporcie podkreślono też skutki finansowe — średnia wartość zgłoszonego zapłaconego okupu wyniosła 4,4 mln USD12.

Ograniczone zasoby i inwestycje dotyczące bezpieczeństwa

Kolejnym istotnym wyzwaniem są ograniczone budżety i zasoby przeznaczane na cyberbezpieczeństwo w całym sektorze służby zdrowia. Zgodnie z niedawnym raportem Healthcare Cybersecurity Needs a Check-Up13 opracowanym przez CSC 2.0 (grupę kontynuującą prace upoważnionej przez Kongres komisji Cyberspace Solarium Commission) „ze względu na napięte budżety i to, że placówki muszą priorytetowo traktować wydatki na podstawowe usługi dla pacjentów, cyberbezpieczeństwo często jest niedofinansowane, przez co organizacje służby zdrowia są bardziej podatne na ataki”.

Ponadto pomimo powagi problemu usługodawcy służby zdrowia nie inwestują dostatecznie w cyberbezpieczeństwo. Ze względu na szereg złożonych czynników, w tym model płatności pośrednich, który często skutkuje przedkładaniem pilnych potrzeb klinicznych nad mniej widoczne inwestycje, takie jak inwestycje w cyberbezpieczeństwo, w ciągu ostatnich dwóch dekad sektor służby zdrowia bardzo mało inwestował w cyberbezpieczeństwo10.

Ponadto wprowadzenie ustawy HIPAA doprowadziło do priorytetowego traktowania inwestycji w ochronę poufności danych i często odsuwania kwestii integralności oraz dostępności danych na drugi plan. To podejście może skutkować mniejszym skupianiem się na odporności organizacji, szczególnie poprzez obniżenie celów dotyczących czasu odzyskiwania (RTO) i punktów odzyskiwania (RPO).

Luki w starszych systemach i infrastrukturze

Jednym ze skutków zbyt małych inwestycji w obszarze cyberbezpieczeństwa jest poleganie na przestarzałych i trudnych do aktualizowania starszych systemach, które stały się atrakcyjnymi celami ataków. Ponadto stosowanie odmiennych technologii powoduje powstawanie niejednolitej infrastruktury z lukami w zabezpieczeniach, co zwiększa ryzyko ataków.

Złożoność tej podatnej na ataki infrastruktury dodatkowo rośnie ze względu na najnowszą tendencję w sektorze służby zdrowia do konsolidacji. Wskutek coraz częstszych fuzji szpitali (odnotowano w tym zakresie wzrost o 23% w porównaniu z rokiem 2022 i najwyższy poziom od 2020 roku14) powstają organizacje o złożonej infrastrukturze rozproszone na obszarze wielu lokalizacji. Bez wystarczających inwestycji w cyberbezpieczeństwo te infrastruktury stają się wysoce podatne na ataki.

Rozszerzający się obszar podatny na ataki

Mimo że zintegrowane klinicznie sieci służby zdrowia, obejmujące połączone urządzenia i technologie medyczne, pomagają w poprawianiu wyników pacjentów i ratowaniu życia, zwiększają one również obszar podatny na ataki cyfrowe, który w coraz większym stopniu wykorzystują źródła zagrożeń.

Szpitale są bardziej „online” niż kiedykolwiek wcześniej, łącząc z sieciami kluczowe urządzenia medyczne, takie jak urządzenia do tomografii komputerowej, systemy monitorowania pacjentów i pompy infuzyjne. Jednak nie zawsze zapewniają poziom wglądu w informacje wymagany do identyfikowania i korygowania luk w zabezpieczeniach, które mogą poważnie wpływać na opiekę nad pacjentami.

Lekarze Christian Dameff i Jeff Tully, współdyrektorzy i współzałożyciele Centrum Cyberbezpieczeństwa w Służbie Zdrowia (Center for Healthcare Cybersecurity) Uniwersytetu Kalifornijskiego w San Diego, zauważają, że średnio 70% szpitalnych punktów końcowych to nie komputery, lecz urządzenia.   
Sala szpitalna ze sprzętem medycznym, białymi szufladami i niebieską zasłoną.

Organizacje służby zdrowia przesyłają też ogromne ilości danych. Zgodnie z danymi Biura Krajowego Koordynatora Informatyki w Służbie Zdrowia (ONC, Office of the National Coordinator for Health IT) ponad 88% szpitali deklaruje elektroniczne przesyłanie i pozyskiwanie informacji o stanie zdrowia pacjentów, a ponad 60% z nich deklaruje integrowanie tych informacji ze swoimi systemami elektronicznej dokumentacji medycznej15.

Małe placówki wiejskie zmagają się z wyjątkowymi wyzwaniami

Wiejskie szpitale zapewniające dostęp krytyczny (CAH) są szczególnie narażone na zdarzenia związane z oprogramowaniem ransomware, ponieważ często mają ograniczone środki zapobiegania zagrożeniom i ich eliminowania. Może to mieć fatalne skutki dla społeczności, ponieważ w społecznościach, którym służą, te szpitale są często jedynymi placówkami służby zdrowia w promieniu wielu mil.

Zdaniem Dameffa i Tully’ego szpitale wiejskie zwykle nie mają tego samego poziomu infrastruktury i wiedzy specjalistycznej w zakresie cyberbezpieczeństwa, jakie są dostępne w przypadku ich większych odpowiedników miejskich. Zauważają też, że wiele planów zapewniania ciągłości działania tych szpitali może być nieaktualnych lub nieodpowiednich pod względem radzenia sobie ze współczesnymi cyberzagrożeniami, takimi jak oprogramowanie ransomware.

Wiele małych lub wiejskich szpitali zmaga się ze znacznymi ograniczeniami finansowymi, a ich działalność opiera się na bardzo niskich marżach zysku. Ta rzeczywistość finansowa utrudnia im inwestowanie w niezawodne mechanizmy zapewniania cyberbezpieczeństwa. Te placówki często polegają na jednym informatyku ogólnym, osobie biegłej w zarządzaniu codziennymi problemami technicznymi, której jednak brakuje specjalistycznej wiedzy z zakresu cyberbezpieczeństwa.

raporcie grupy zadaniowej ds. cyberbezpieczeństwa w branży służby zdrowia (Health Care Industry Cybersecurity Task Force) Departamentu Zdrowia i Opieki Społecznej (HSS), utworzonej w ramach ustawy o cyberbezpieczeństwie z 2015 roku, podkreślono, że ​​znaczna część wiejskich szpitali zapewniających dostęp krytyczny (CAH) nie ma zatrudnionego na pełny etat pracownika zajmującego się przede wszystkim cyberbezpieczeństwem, co uwydatnia szerszy zakres wyzwań związanych z zasobami, z jakimi zmagają się mniejsi usługodawcy w sektorze służby zdrowia.

„Ci informatycy ogólni, często po prostu osoby biegłe w zarządzaniu siecią i komputerami, przywykli do radzenia sobie z takimi problemami, jak «nie mogę drukować, nie mogę się zalogować, jakie jest moje hasło?»” — wyjaśnia Dameff. „To nie są eksperci ds. cyberbezpieczeństwa. Nie mają personelu, nie mają budżetu i nie wiedzą nawet, od czego zacząć”.

Proces ataku cyberprzestępcy zwykle przebiega dwuetapowo: najpierw uzyskanie początkowego dostępu do sieci, często przez wyłudzenie informacji lub wykorzystanie luk w zabezpieczeniach, a następnie wdrożenie oprogramowania ransomware w celu zaszyfrowania krytycznych systemów i danych. Wskutek ewolucji tych taktyk, w tym wykorzystywania legalnych narzędzi i rozprzestrzenienia się RaaS, ataki stały się bardziej dostępne i częstsze.

Początkowy etap ataku z użyciem oprogramowania ransomware: uzyskanie dostępu do sieci organizacji służby zdrowia

Jack Mott, który wcześniej kierował zespołem ds. inżynierii wykrywania i analizy zagrożeń w poczcie e-mail dla przedsiębiorstw w firmie Microsoft, zauważa: „Poczta e-mail pozostaje jednym z największych wektorów realizowania ataków z użyciem złośliwego oprogramowania i wyłudzania informacji na potrzeby ataków z użyciem oprogramowania ransomware”16.

W analizie zagrożeń Microsoft obejmującej 13 systemów szpitalnych reprezentujących wiele rodzajów działalności, w tym szpitale wiejskie, 93% z zaobserwowanych złośliwych cyberdziałań było związanych z kampaniami wyłudzania informacji i oprogramowaniem ransomware, przy czym większość działań stanowiły zagrożenia oparte na poczcie e-mail17.
„Poczta e-mail pozostaje jednym z największych wektorów realizowania ataków z użyciem złośliwego oprogramowania i wyłudzania informacji na potrzeby ataków z użyciem oprogramowania ransomware”.
Jack Mott 
Analiza zagrożeń Microsoft

W kampaniach skierowanych przeciwko organizacjom służby zdrowia często wykorzystuje się bardzo charakterystyczne przynęty. Mott podkreśla na przykład, jak źródła zagrożeń tworzą wiadomości e-mail zawierające żargon typowy dla służby zdrowia, na przykład odniesienia do raportów z sekcji zwłok, aby zwiększyć ich wiarygodność i skutecznie oszukać pracowników organizacji służby zdrowia. 

Tego typu taktyki z użyciem inżynierii społecznej, szczególnie w środowiskach w których pracuje się pod dużą presją, takich jak służba zdrowia, wykorzystują często odczuwane przez pracowników poczucie pilności, które może prowadzić do popełniania błędów w zakresie bezpieczeństwa. 

Mott dodaje też, że metody atakujących są coraz bardziej wyrafinowane i często wykorzystuje się w nich „prawdziwe nazwiska, wiarygodne usługi i narzędzia powszechnie używane w działach informatycznych (na przykład narzędzia do zarządzania zdalnego)”, aby uniknąć wykrycia. Te taktyki utrudniają systemom zabezpieczeń odróżnianie działań złośliwych od wiarygodnych. 

Z danych Centrum analizy zagrożeń Microsoft wynika też, że atakujący często wykorzystują znane luki w oprogramowaniu lub systemach organizacji, które zidentyfikowano w przeszłości. Te typowe luki w zabezpieczeniach i zagrożenia (CVE) są dobrze udokumentowane i dostępne są dla nich poprawki. Atakujący często wykorzystują te starsze luki, ponieważ wiedzą, że wiele organizacji jeszcze ich nie wyeliminowało18 .

Po uzyskaniu początkowego dostępu atakujący często przeprowadzają rekonesans sieci, który można zidentyfikować na przykład na podstawie nietypowej aktywności skanowania. Działania te pomagają źródłom zagrożeń zapoznać się z siecią, zidentyfikować krytyczne systemy i przygotować kolejny etap ataku: wdrożenie oprogramowania ransomware.

Końcowy etap ataku z użyciem oprogramowania ransomware: wdrożenie oprogramowania ransomware w celu zaszyfrowania krytycznych systemów

Po uzyskaniu początkowego dostępu, zwykle za pomocą wyłudzenia informacji lub złośliwego oprogramowania dostarczonego pocztą e-mail, źródła zagrożeń przechodzą do drugiego etapu: wdrożenia oprogramowania ransomware.

Jack Mott wyjaśnia, że rozpowszechnienie się modeli RaaS znacząco przyczyniło się do wzrostu częstotliwości ataków z użyciem oprogramowania ransomware w sektorze służby zdrowia. „Platformy RaaS zdemokratyzowały dostęp do wyrafinowanych narzędzi ransomware, umożliwiając nawet osobom z minimalnymi umiejętnościami technicznymi przeprowadzanie wysoce skutecznych ataków” — stwierdza Mott. Ten model obniża barierę wejścia dla atakujących, sprawiając, że ataki z użyciem oprogramowania ransomware są bardziej dostępne i wydajniejsze.
„Platformy RaaS zdemokratyzowały dostęp do wyrafinowanych narzędzi ransomware, umożliwiając nawet osobom z minimalnymi umiejętnościami technicznymi przeprowadzanie wysoce skutecznych ataków”. 
Jack Mott 
Analiza zagrożeń Microsoft

Mott bardziej szczegółowo opisuje działanie RaaS, stwierdzając: „Te platformy często zawierają kompleksowy zestaw narzędzi, w tym oprogramowanie szyfrujące, przetwarzanie płatności, a nawet obsługę klienta na potrzeby negocjowania płatności okupu. Takie podejście oparte na rozwiązaniu «pod klucz» umożliwia szerszemu gronu źródeł zagrożeń przeprowadzanie kampanii z użyciem oprogramowania ransomware, co skutkuje wzrostem liczby i nasilenia ataków”.

Ponadto Mott podkreśla skoordynowany charakter tych ataków: „Po wdrożeniu oprogramowania ransomware atakujący zazwyczaj szybko przystępują do szyfrowania krytycznych systemów i danych, często w ciągu kilku godzin. Są wycelowane w niezbędną infrastrukturę, jak rejestry informacji o pacjentach, systemy diagnostyczne, a nawet operacje rozliczeniowe, w celu zmaksymalizowania skutków i presji na organizacje służby zdrowia, aby zapłaciły okup”.

Ataki z użyciem oprogramowania ransomware w sektorze służby zdrowia: profile istotnych grup hakerskich

Ataki z użyciem oprogramowania ransomware w sektorze służby zdrowia są często przeprowadzane przez wysoce zorganizowane i wyspecjalizowane grupy hakerskie. Grupy te, do których zaliczają się zarówno cyberprzestępcy motywowani finansowo, jak i wyrafinowane państwowe grupy hakerskie, wykorzystują zaawansowane narzędzia i strategie do infiltrowania sieci, szyfrowania danych i żądania okupu od organizacji.

Wśród tych źródeł zagrożeń są hakerzy sponsorowani przez rządy krajów autorytarnych, którzy według doniesień używają oprogramowania ransomware, a nawet współpracują z grupami wykorzystującymi oprogramowanie ransomware w celach szpiegowskich. Na przykład podejrzewa się, że państwowe grupy hakerskie z Chin w coraz większym stopniu wykorzystują ataki z użyciem oprogramowania ransomware jako przykrywkę dla działalności szpiegowskiej19.

Wiele wskazuje na to, że najbardziej aktywne w atakowaniu organizacji służby zdrowia w 2024 roku są irańskie źródła zagrożeń20. Na przykład w sierpniu 2024 roku rząd Stanów Zjednoczonych wydał ostrzeżenie dla sektora służby zdrowia dotyczące irańskiego źródła zagrożenia znanego jako Lemon Sandstorm. Ta grupa „wykorzystywała nieautoryzowany dostęp do sieci organizacji amerykańskich, w tym organizacji służby zdrowia, w celu ułatwiania, przeprowadzania i czerpania zysków z przyszłych ataków z użyciem oprogramowania ransomware realizowanych przez gangi ransomware najwyraźniej powiązane z Rosją”21.

Poniższe profile zapewniają szczegółowe informacje dotyczące niektórych z najbardziej znanych motywowanych finansowo grup wykorzystujących oprogramowanie ransomware do ataków na służbę zdrowia. Szczegółowo opisano ich metody, motywacje i wpływ ich działań na branżę.
  • Lace Tempest to bardzo aktywna grupa wykorzystująca oprogramowanie ransomware do atakowania służby zdrowia. Korzysta ona z modelu RaaS, umożliwiając grupom stowarzyszonym łatwe wdrażanie oprogramowania ransomware. Grupa ta jest powiązana z istotnymi atakami na systemy szpitalne, w ramach których szyfrowano kluczowe dane pacjentów i żądano okupu. Wiadomo o niej, że stosuje taktykę podwójnego wymuszenia: nie tylko szyfruje dane, ale też wydobywa je i grozi ujawnieniem poufnych informacji, jeśli okup nie zostanie zapłacony.
  • Grupa Sangria Tempest jest znana z zaawansowanych ataków z użyciem oprogramowania ransomware na organizacje służby zdrowia. Za pomocą zaawansowanego szyfrowania grupa ta w zasadzie uniemożliwia odzyskanie danych bez zapłacenia okupu. Stosuje też taktykę podwójnego wymuszenia, wydobywając dane pacjentów i grożąc ich ujawnieniem. Ataki tej grupy powodują zakłócenia operacyjne o szerokim zasięgu, zmuszając systemy służby zdrowia do przekierowywania zasobów, co negatywnie wpływa na opiekę nad pacjentami.
  • Grupa Cadenza Tempest, znana z ataków DDoS, w coraz większym stopniu koncentruje się na operacjach z użyciem oprogramowania ransomware przeciwko służbie zdrowia. Grupa ta została zidentyfikowana jako prorosyjska grupa haktywistów i atakuje systemy służby zdrowia w regionach wrogich rosyjskim interesom. Przeprowadzane przez nią ataki przeciążają systemy szpitalne, zakłócając operacje krytyczne i wywołując chaos, szczególnie w połączeniu z kampaniami z wykorzystaniem oprogramowania ransomware.
  • Motywowana finansowo grupa Vanilla Tempest aktywna od lipca 2022 roku zaczęła niedawno wykorzystywać oprogramowanie ransomware INC uzyskiwane za pośrednictwem dostawców RaaS do atakowania amerykańskiej służby zdrowia. Wykorzystuje ona luki w zabezpieczeniach oraz używa skryptów niestandardowych i standardowych narzędzi systemu Windows do kradzieży poświadczeń, penetrowania sieci i wdrażania oprogramowania ransomware. Grupa ta stosuje też podwójne wymuszenia, żądając okupu za odblokowanie systemów i uniknięcie ujawnienia wykradzionych danych.

W obliczu coraz bardziej wyrafinowanych ataków z użyciem oprogramowania ransomware organizacje służby zdrowia muszą wdrożyć wieloaspektowe podejście do cyberbezpieczeństwa. Muszą być przygotowane na skuteczne radzenie sobie z cyberzdarzeniami, reagowanie na nie i usuwanie ich skutków przy jednoczesnym zachowaniu ciągłości opieki nad pacjentami.

W poniższych wytycznych przedstawiono kompleksową strukturę mającą na celu zwiększenie odporności, zapewnianie szybkiego odzyskania systemów, pielęgnowanie wśród pracowników nastawienia w pierwszej kolejności na bezpieczeństwo oraz promowanie współpracy w całym sektorze służby zdrowia.

Ład: zapewnianie gotowości i odporności

Budynek z wieloma oknami pod błękitnym niebem z chmurami

Skuteczne zarządzanie w zakresie cyberbezpieczeństwa służby zdrowia ma kluczowe znaczenie dla przygotowania się na ataki z użyciem oprogramowania ransomware i reagowania na nie. Dameff i Tully z Centrum Cyberbezpieczeństwa w Służbie Zdrowia UK w San Diego zalecają ustanowienie solidnej struktury ładu korporacyjnego obejmującej przejrzyste role, regularne szkolenia i współpracę interdyscyplinarną. Pomaga to organizacjom służby zdrowia zwiększyć odporność na ataki z użyciem oprogramowania ransomware i zapewnić ciągłość opieki nad pacjentami, nawet w obliczu istotnych zakłóceń.

Kluczowym aspektem tej struktury jest usuwanie barier między personelem medycznym, zespołami ds. bezpieczeństwa informatycznego i specjalistami ds. zarządzania kryzysowego w celu opracowywania spójnych planów reagowania na zdarzenia. Ta współpraca między różnymi działami ma kluczowe znaczenie dla utrzymania bezpieczeństwa pacjentów i jakości opieki w przypadku naruszenia systemów technologicznych.

Dameff i Tully podkreślają też konieczność funkcjonowania dedykowanej rady lub organu zarządzającego spotykającego się regularnie w celu przeglądania i aktualizowania planów reagowania na zdarzenia. Zalecają upoważnienie tych organów zarządzających do testowania planów reagowania za pomocą realistycznych symulacji i ćwiczeń w celu zapewnienia, że cały personel, w tym młodsi lekarze, którzy mogą nie być zaznajomieni z obsługą dokumentacji papierowej, jest przygotowany do skutecznej pracy bez narzędzi cyfrowych.

Dameff i Tully podkreślają też znaczenie współpracy zewnętrznej. Opowiadają się za tworzeniem systemów regionalnych i krajowych umożliwiających szpitalom wzajemne wspieranie się w trakcie zdarzeń o dużej skali, potwierdzając potrzebę tworzenia „strategicznych krajowych zapasów” (tzw. Strategic National Stockpile) technologii mogących tymczasowo zastępować naruszone systemy.

Odporność i reagowanie strategiczne

Odporność w cyberbezpieczeństwie służby zdrowia wykracza poza zwykłą ochronę danych — musi obejmować zapewnienie, że całe systemy będą w stanie wytrzymać ataki i będzie można je odzyskać po atakach. Niezbędne jest kompleksowe podejście do zapewniania odporności, skupiające się nie tylko na ochronie danych pacjentów, ale też na wzmocnieniu całej infrastruktury obsługującej działanie służby zdrowia. Obejmuje to cały system — sieć, łańcuch dostaw, urządzenia medyczne i inne elementy.

Wdrożenie strategii obrony opartej na wielu mechanizmach ma kluczowe znaczenie dla tworzenia warstwowych zabezpieczeń, które są w stanie skutecznie udaremniać ataki z użyciem oprogramowania ransomware.

Wdrożenie strategii obrony opartej na wielu mechanizmach ma kluczowe znaczenie dla tworzenia warstwowych zabezpieczeń, które są w stanie skutecznie udaremniać ataki z użyciem oprogramowania ransomware. Ta strategia obejmuje zabezpieczanie wszystkich warstw infrastruktury służby zdrowia — od sieci, przez punkty końcowe aż po chmurę. Dzięki zapewnieniu zastosowania wielu warstw zabezpieczeń organizacje służby zdrowia są w stanie ograniczyć ryzyko udanego ataku z użyciem oprogramowania ransomware.

W ramach stosowania tego warstwowego podejścia u klientów firmy Microsoft zespoły Centrum analizy zagrożeń Microsoft aktywnie monitorują wrogie zachowania. W przypadku wykrycia takich działań przekazywane jest bezpośrednie powiadomienie.

Nie jest to usługa płatna ani świadczona na różnych poziomach — firmy wszystkich rozmiarów są traktowane jednakowo. Celem jest niezwłoczne powiadomienie o wykryciu potencjalnych zagrożeń, w tym oprogramowania ransomware, i udzielenie pomocy w podjęciu działań mających na celu ochronę organizacji.

Oprócz wdrożenia tych warstw obrony istotne jest posiadanie skutecznego planu wykrywania zdarzeń i reagowania na nie. Posiadanie planu to za mało — organizacje służby zdrowia muszą być przygotowane na skuteczne wykonanie tego planu w trakcie rzeczywistego ataku, aby zminimalizować szkody i zapewnić szybkie odzyskanie systemu.

Wreszcie niezbędnymi elementami niezawodnej struktury reagowania na zdarzenia są funkcje ciągłego monitorowania i wykrywania w czasie rzeczywistym, ponieważ zapewniają możliwość szybkiego zidentyfikowania potencjalnych zagrożeń i zajęcia się nimi.

W celu zapewnienia dodatkowych informacji na temat cyberodporności w służbie zdrowia Departament Zdrowia i Opieki Społecznej (HHS) opublikował dobrowolne cele w zakresie cyberbezpieczeństwa (Cybersecurity Performance Goals — CPG) opracowane dla służby zdrowia, aby pomóc organizacjom służby zdrowia w ustalaniu priorytetów wdrażania istotnych rozwiązań dotyczących cyberbezpieczeństwa.

Te cele w zakresie cyberbezpieczeństwa, które opracowano w ramach partnerstwa publiczno-prywatnego i z wykorzystaniem powszechnych w branży struktur, wytycznych, najlepszych rozwiązań oraz strategii dotyczących cyberbezpieczeństwa, obejmują podzestaw rozwiązań dotyczących cyberbezpieczeństwa, które organizacje służby zdrowia mogą wykorzystać w celu wzmocnienia cybergotowości, poprawy cyberodporności oraz ochrony bezpieczeństwa i informacji dotyczących zdrowia pacjentów.

Kroki umożliwiające szybkie przywrócenie działania i wzmocnienie bezpieczeństwa po ataku

Odzyskiwanie danych po ataku z użyciem oprogramowania ransomware wymaga stosowania systematycznego podejścia, aby zapewnić szybkie przywrócenie normalnego działania i zapobiec przyszłym zdarzeniom. Poniżej przedstawiono praktyczne kroki pomagające w ocenianiu szkód, przywracaniu zaatakowanych systemów i wzmacnianiu mechanizmów zabezpieczeń. Postępując zgodnie z tymi wytycznymi, organizacje służby zdrowia mogą ułatwić skorygowanie skutków ataku i wzmocnić mechanizmy obrony przed przyszłymi zagrożeniami.
Ocena skutków ataku i powstrzymanie go

Należy natychmiast odizolować zaatakowane systemy, aby zapobiec dalszemu rozprzestrzenianiu się ataku.
Przywrócenie ze znanych dobrych kopii zapasowych

Przed przywróceniem działania należy upewnić się, że są dostępne kopie zapasowe systemów utworzone przed ich zaatakowaniem i że zostały one zweryfikowane. Aby uniknąć trudności wynikających z zaszyfrowania za pomocą oprogramowania ransomware, należy zadbać o dostępność kopii zapasowych offline.
Odbudowanie systemów

Warto rozważyć odbudowanie naruszonych systemów zamiast stosowania do nich poprawek, aby wyeliminować wszelkie pozostające w nich złośliwe oprogramowanie. Można skorzystać ze wskazówek zespołu Reagowanie na Zdarzenia Microsoft dotyczących bezpiecznego odbudowywania systemów. 
Wzmocnienie mechanizmów kontroli zabezpieczeń po ataku

Należy wzmocnić stan zabezpieczeń po ataku, usuwając luki w zabezpieczeniach, stosując do systemów poprawki i ulepszając narzędzia do wykrywania w punktach końcowych.
Przeprowadzenie przeglądu po zdarzeniu

W ramach współpracy z zewnętrznym dostawcą rozwiązań zabezpieczających należy przeanalizować atak, aby zidentyfikować słabe punkty i ulepszyć mechanizmy obrony pod kątem przyszłych zdarzeń.

Rozwijanie zespołu pracowników nastawionych w pierwszej kolejności na bezpieczeństwo

Mężczyzna i kobieta spoglądający na twarz kobiety.

Rozwijanie zespołu pracowników nastawionych w pierwszej kolejności na bezpieczeństwo wymaga ciągłej współpracy interdyscyplinarnej.

Rozwijanie zespołu pracowników nastawionych w pierwszej kolejności na bezpieczeństwo wymaga ciągłej współpracy interdyscyplinarnej. Ważne jest usuwanie barier między zespołami ds. bezpieczeństwa informatycznego, kierownikami ds. zarządzania kryzysowego i personelem medycznym w celu opracowywania spójnych planów reagowania na zdarzenia. Bez tej współpracy pozostała część szpitala może nie być odpowiednio przygotowana do skutecznego zareagowania w trakcie cyberzdarzenia.

Edukacja i świadomość

Skuteczne szkolenia i solidna kultura raportowania to istotne elementy obrony organizacji służby zdrowia przed oprogramowaniem ransomware. Ponieważ pracownicy służby zdrowia priorytetowo traktują opiekę nad pacjentami, nie zawsze w równym stopniu zwracają oni uwagę na cyberbezpieczeństwo, co może zwiększać ich podatność na cyberzagrożenia.

Aby rozwiązać ten problem, konieczne są ciągłe szkolenia obejmujące podstawy cyberbezpieczeństwa, na przykład wykrywania wiadomości e-mail służących do wyłudzania informacji, unikania klikania podejrzanych linków i rozpoznawania często stosowanych taktyk inżynierii społecznej.

Mogą w tym pomóc zasoby firmy Microsoft dotyczące świadomości w zakresie cyberbezpieczeństwa.

„Kluczowe jest zachęcanie pracowników do zgłaszania problemów dotyczących bezpieczeństwa bez obaw o zostanie obwinionym” — wyjaśnia Mott z firmy Microsoft. „Im szybciej podejrzenie zostanie zgłoszone, tym lepiej. Jeśli nie okaże się ono problemem, jest to najlepszy możliwy scenariusz”.

Regularne ćwiczenia i symulacje powinny też naśladować rzeczywiste ataki, takie jak próby wyłudzenia informacji lub ataki z użyciem oprogramowania ransomware, pomagając pracownikom ćwiczyć reagowanie w kontrolowanym środowisku.

Udostępnianie informacji, współpraca i obrona zbiorowa

Ze względu na to, że częstotliwość ataków z użyciem oprogramowania ransomware ogólnie wzrasta (firma Microsoft odnotowuje, że wśród jej klientów wzrosła 2,75 razy w ciągu roku16), niezbędna staje się strategia obrony zbiorowej. Współpraca — między zespołami wewnętrznymi, partnerami regionalnymi oraz szerszymi sieciami krajowymi/globalnymi — ma kluczowe znaczenie dla skutecznego zapewnienia funkcjonowania służby zdrowia i bezpieczeństwa pacjentów.

Połączenie tych grup na potrzeby projektowania i wdrażania kompleksowych planów reagowania na zdarzenia pomaga w zapobieganiu chaosowi operacyjnemu w trakcie ataków.

Dameff i Tully podkreślają znaczenie zjednoczenia działań zespołów wewnętrznych, takich jak lekarze, kierownicy ds. zarządzania kryzysowego i pracownicy ds. bezpieczeństwa informatycznego, którzy często pracują, nie koordynując swoich działań. Połączenie tych grup na potrzeby projektowania i wdrażania kompleksowych planów reagowania na zdarzenia pomaga w zapobieganiu chaosowi operacyjnemu w trakcie ataków.

Na poziomie regionalnym organizacje służby zdrowia powinny nawiązywać partnerstwa umożliwiające placówkom służby zdrowia współdzielenie zasobów w celu zapewnienia kontynuacji opieki nad pacjentami nawet w przypadku zaatakowania niektórych szpitali za pomocą oprogramowania ransomware. Ta forma obrony zbiorowej może też pomóc w zarządzaniu nadmiarem pacjentów i rozkładaniu obciążenia między placówkami służby zdrowia.

Oprócz współpracy regionalnej kluczowe znaczenie mają też krajowe i globalne sieci udostępniania informacji. Centra wymiany i analizy informacji ISAC (Information Sharing and Analysis Center), takie jak Health-ISAC, to platformy dla organizacji służby zdrowia do udostępniania kluczowych analiz zagrożeń. Errol Weiss, dyrektor ds. bezpieczeństwa w Health-ISAC, porównuje te organizacje do „programów wirtualnej straży sąsiedzkiej”, w ramach których organizacje członkowskie mogą szybko udostępniać szczegółowe informacje na temat ataków i sprawdzonych technik łagodzenia ich skutków. Taka wymiana analiz pomaga innym przygotować się na podobne zagrożenia lub je wyeliminować, co wzmacnia zbiorową obronę na większą skalę.

  1. [1]
    Wewnętrzne dane analizy zagrożeń firm Microsoft, 2. kwartał, 2024 r.
  2. [2]
    (Podsumowanie ogólne dla dyrektorów ds. bezpieczeństwa informacji: krajobraz bieżących i wyłaniających się cyberzagrożeń w służbie zdrowia; Health-ISAC i American Hospital Association — AHA)  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    TRANSKRYPCJA: przesłuchanie komisji Izby Reprezentantów w sprawie oceny niedoborów w zakresie cyberbezpieczeństwa firmy Microsoft”, Tech Policy Press, 15 czerwca 2024 r.
  4. [4]
    Organizacje służby zdrowia tracą średnio 900 000 USD dziennie w wyniku przestojów spowodowanych atakami z użyciem oprogramowania ransomware”, Comparitech, 6 marca 2024 r.
  5. [5]
    Liczba i istotność ataków z użyciem oprogramowania ransomware na służbę zdrowia stale rosną”, The HIPAA Journal, wrzesień 2024 r.
  6. [6]
    Całkowicie zhakowane? Skutki ataków z użyciem oprogramowania ransomware dla szpitali i pacjentów; https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    Atak z użyciem oprogramowania ransomware powiązany z zakłóceniami w sąsiadujących oddziałach ratunkowych w Stanach Zjednoczonych; Atak z użyciem oprogramowania ransomware powiązany z zakłóceniami w sąsiadujących oddziałach ratunkowych w Stanach Zjednoczonych | Emergency Medicine | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    Atak z użyciem oprogramowania ransomware na organizację Ascension utrudnia naprawę finansową”, The HIPPA Journal, 20 września 2024 r.
  10. [10]
    Ujawnienie danych pacjentów w wyniku ataku ukierunkowanego na wyłudzanie informacji na organizację UC San Diego Health”, The HIPPA Journal, 13 marca 2024 r.
  11. [11]
    Atak z użyciem oprogramowania ransomware kluczowym czynnikiem w decyzji o zamknięciu szpitala wiejskiego w Illinois”, The HIPPA Journal, 14 czerwca 2023 r.
  12. [12]
    Liczba i istotność ataków z użyciem oprogramowania ransomware na służbę zdrowia stale rosną”, The HIPAA Journal, wrzesień 2024 r.
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    W 2023 roku przeprowadzono więcej fuzji szpitali, a trudności finansowe prowadzą do zwiększenia liczby tego typu transakcji (chiefhealthcareexecutive.com)
  15. [15]
    Współdziałanie i metody wymiany informacji między szpitalami w 2021 roku | HealthIT.gov
  16. [16]
    Raport firmy Microsoft na temat ochrony zasobów cyfrowych 2024, Microsoft, strona 27
  17. [17]
    Dane telemetryczne Centrum analizy zagrożeń Microsoft, 2024 r.
  18. [18]
    Katalog znanych wykorzystywanych luk w zabezpieczeniach”, CISA, 2024 r.
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    Dane Centrum analizy zagrożeń Microsoft dotyczące cyberzagrożeń w sektorze służby zdrowia, 2024 r.
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
Oprogramowanie ransomware Cyberprzestępczość

Więcej od działu bezpieczeństwa

Przewodnik po higienie cyberochrony

Podstawowa higiena cybernetyczna nadal jest najlepszym sposobem na ochronę tożsamości, urządzeń, danych, aplikacji, infrastruktury i sieci organizacji przed 98% wszystkich cyberzagrożeń. Poznaj praktyczne wskazówki zawarte w kompleksowym przewodniku.
Dowiedz się więcej

Kulisy walki z hakerami zakłócającymi pracę szpitali i narażającymi życie pacjentów

Dowiedz się więcej o najnowszych pojawiających się zagrożeniach z danych i badań firmy Microsoft. Uzyskaj analizę trendów i praktyczne wskazówki, aby wzmocnić swoją pierwszą linię obrony.
Dowiedz się więcej

Wykorzystywanie ekonomii zaufania: oszustwo z użyciem inżynierii społecznej

Przyjrzyj się ewoluującemu krajobrazowi cyfrowemu, w którym zaufanie jest zarówno walutą, jak i słabym punktem. Poznaj najczęściej stosowane przez cyberprzestępców metody oszustw z użyciem inżynierii społecznej oraz przeanalizuj strategie pomagające zidentyfikować i przechytrzyć bazujące na inżynierii społecznej zagrożenia, które opierają się na manipulowaniu ludzką naturą.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft