Brněnská fakultní nemocnice by se aktuálně měla připravovat na nápor nových pacientů s nákazou koronavirem, namísto toho řeší závažný problém se svými počítači. Největší brněnská nemocnice čelí zatím blíže nespecifikovanému kybernetickému útoku a indicie nasvědčují tomu, že se jedná o ransomware podobně jako v nedávném případu nemocnice v Benešově.
Podle zjištěných informací dostali zaměstnanci za úkol okamžitě vypnout nemocniční počítače a nezapínat je. Týká se to přitom celého areálu nemocnice, včetně přidružené porodnice a dětské nemocnice. Počítače jsou pochopitelně všudypřítomné a na jejich chodu závisí řada specializovaných přístrojů. Z toho důvodu jsou odkládány operace a pacienti s akutními případy jsou převáženi do jiných nemocnic.
Ke zjištění problému došlo v noci ze čtvrtka na pátek. Došlo k co nejrychlejšímu odstavení počítačů a situaci nyní řeší svolaná krizová skupina. Jak velký je rozsah a jak dlouho bude nemocnice omezena, to se zatím neví.
Největší podezření padá na „vyděračský“ ransomware, tedy vir, který zašifruje data v počítači a následně autor viru vyžaduje výkupné za odšifrování dat. Antivirové společnosti nyní varují, že se různý malware a ransomware šíří v souvislosti se zprávami kolem nemoci COVID-19 – velmi častý je cílený phishing, který v příloze slibuje dokumenty s dalšími informacemi, ale je v nich skrytý škodlivý software. Je tedy možné, že do sítě takový software pustil nevědomky některý ze zaměstnanců nemocnice, protože zprávu považoval za relevantní.
Když jsou počítače v botnetu
Zapojit počítač do botnetu – sítě zavirovaných a na dálku kontrolovaných počítačů, není zpravidla žádná věda. Stačí, aby se osoba s dostatečnými právy nenachytala na kvalitní phishing. Říká se mu spear phishing a může být vytvořený na míru cíli, takže je na první pohled velmi věrohodný.
No, a pak už to jede. Z našich dat z mnoha útoků na české počítače v minulosti víme, že se obětmi často stávají podnikové účtárny, mzdová oddělení a asistentky ředitele. Vyplývá to z doménových názvů jejich počítačů, které máme k dispozici.
Mapka zavirovaných podnikových sítí v Česku během jednoho z velkých útoků v nedávné minulosti.
Kvalitní virus pak obejde mnohé nástrahy antivirových a jiných bezpečnostních systémů, některé si poradí i se základní poučkou, že je třeba velké podnikové sítě segmentovat, a oheň je na střeše.
Fakultní nemocnice v Brně v tom tedy není jediná. V posledních letech se ransomware a jiný malware skrze phishing a poté šířením v lokální síti skrze problematické protokoly (SMB aj.) dostal do stovek a tisíců podnikových sítí v Česku. Tyto menší úspěšné útoky ale přirozeně neprobublají do médií.
Koronavirus online