RelatedPosts
Spitalul Clinic CF Witting, din București, a fost victima unui atac cibernetic cu aplicaţia ransomware PHOBOS. Serviciul Român de Informații (SRI) a anunțat că hackerii au cerut o recompensă de la spital, dar nu au primit nici un ban. Activitatea curentă a spitalului nu a fost perturbată de atacul cibernetic.
Serviciul Român de Informații a anunțat că în cooperare cu CERT-RO şi Spitalul Clinic Nr.1 CF Witting din Bucureşti, a investigat un atac cibernetic cu aplicaţia ransomware PHOBOS care a vizat serverele entităţii din domeniul sănătăţii. „Ulterior criptării datelor, atacatorii au solicitat plata unei răscumpărări pentru decriptarea acestora, plată ce nu a fost realizată de instituţia afectată. Cu toate acestea, activitatea curentă a spitalului nu a fost întreruptă, continuitatea fiind asigurată prin utilizarea registrelor offline”, a anunțat SRI într-un comunicat de presă.
Acest atac cybernetic este similar celui din vara anului 2019, când alte patru spitale din România au fost afectate de PHOBOS, în contextul lipsei unor soluţii antivirus la nivelul infrastructurii IT&C utilizate de acestea.
Ce este PHOBOS?
Phobos este un program de tip malware care criptează datele dintr-un computer capturat. Mai mult, blochează toate fișierele stocate. Hackerii mențin fișierele în această stare până la plata unei recompense. Phobos redenumește toate fișierele criptate adăugând extensia „.phobos ” plus ID-ul unic al victimei și o adresă de e-mail. De exemplu, „1.jpg ” ar putea fi redenumit într-un nume de fișier precum „ 1.jpg.ID-63857777. [Job2019@tutanota.com] .phobos.
Ransomware PHOBOS a fost detectat prima dată în decembrie 2018 și este folosit de hacker pentru a ataca organizațiile mici. Cererea medie de răscumpărar în urma unui atac cibernetic cu PHOBOS este în medie de 18.755 dolari.
În ceea ce privește structura sa genetică, ransomware-ul Phobos este o tulpină foarte similară cu varianta Dharma. Experții îl consideră pe primul ca pe o versiune foarte asemănătoare (unii ar merge până la a spune că ar fi rip-off) a celei din urmă. Mai mult, potrivit Coverware, atât Phobos, cât și Dharma par a fi inspirate de familia de ransomware mai mare CrySis. PHOBOS implementează, în esență, același fișier HTA pe computerele infectate ca și Dharma, singura diferență constând în faptul că brandul său este pătruns în partea de sus și de jos a fișierului HTA.
„Ransomware-ul PHOBOS prezintă un nivel de complexitate medie, utilizând ca metodă de infecţie, preponderent, conexiunile de tip Remote Desktop Protocol (RDP)”, a precizat SRI.
Recomandările CYBERINT şi CERT-RO
Specialiștii de la Cyberint și CERT-RO recomandă utilizarea unei soluţii antivirus actualizate, dar și dezactivarea serviciului RDP de pe toate staţiile şi serverele din reţea. Acești mai recomandă:
- Actualizarea sistemelor de operare şi a tuturor aplicaţiilor utilizate;
- Schimbarea frecventă a parolelor tuturor utilizatorilor, respectând recomandările de complexitate;
- Verificarea periodică a tuturor utilizatorilor înregistraţi, pentru a identifica utilizatorii noi, adăugaţi în mod nelegitim;
- Realizarea unor copii de siguranţă a datelor critice pe suporţi de date offline;
- Păstrarea datelor criptate în eventualitatea în care ar putea apărea o aplicaţie de decriptare în mediul online.
