Phạm vi của một sự cố mạng gần đây tại NHS Dumfries và Galloway, lần đầu tiên được đưa ra ánh sáng vào tháng 3 năm 2024, có thể sắp mở rộng để kết hợp với dịch vụ y tế rộng lớn hơn của Scotland, sau khi một hoạt động tội phạm mạng có tên Inc Ransom tuyên bố. sở hữu ba terabyte dữ liệu được đánh cắp từ NHS Scotland.
Trong một bài đăng trên web đen, Inc Ransom tuyên bố đã đánh cắp dữ liệu của hơn 140.000 nhân viên phòng khám và văn phòng hỗ trợ làm việc trên NHS ở Scotland và đe dọa sẽ công bố nó “sớm”. Theo thông lệ tiêu chuẩn, nó cũng đăng một số mặt hàng được cho là bị đánh cắp để làm bằng chứng. Việc kết xuất dữ liệu nhỏ này được hiểu là bao gồm thông tin nhạy cảm bao gồm các báo cáo y tế và thư gửi bệnh nhân.
NHS Dumfries và Galloway, phục vụ các cộng đồng ở phía tây nam Scotland, lần đầu tiên thừa nhận họ đã trở thành nạn nhân của một cuộc tấn công mạng “tập trung và đang diễn ra” vào ngày 15 tháng 3, và vào thời điểm đó, họ đã hợp tác với nhiều cơ quan khác nhau bao gồm Cảnh sát Scotland, chính phủ Scotland và Trung tâm An ninh mạng Quốc gia Vương quốc Anh (NCSC).
Vào thời điểm đó, họ cho biết có thể có một số gián đoạn đối với các dịch vụ tuyến đầu và lưu ý nguy cơ những kẻ tấn công có thể đã đánh cắp dữ liệu nhạy cảm.
Trong bản cập nhật mới, NHS Dumfries và Galloway cho biết họ biết rằng dữ liệu lâm sàng liên quan đến “một số ít bệnh nhân” đã được công bố sau cuộc tấn công vào hệ thống của họ. Jeff Ace, Giám đốc điều hành của NHS Dumfries và Galloway cho biết: “Chúng tôi thực sự lấy làm tiếc về việc tiết lộ dữ liệu bí mật của bệnh nhân như một phần của hành động tội phạm này”. “Thông tin này đã được tin tặc tiết lộ để chứng minh rằng thông tin này thuộc quyền sở hữu của họ… Các dịch vụ hỗ trợ bệnh nhân tiếp tục hoạt động hiệu quả như bình thường.”
Ông cho biết NHS Dumfries và Galloway sẽ liên hệ với những bệnh nhân có dữ liệu được cho là đã bị rò rỉ và công việc đó đang được tiến hành để hạn chế mọi hoạt động chia sẻ dữ liệu đó.
Ace cho biết: “NHS Dumfries và Galloway nhận thức rất sâu sắc về tác động tiềm ẩn của sự phát triển này đối với những bệnh nhân có dữ liệu đã được công bố và sự lo lắng chung có thể xảy ra trong cộng đồng bệnh nhân của chúng tôi”.
Khu vực bị tấn công nhiều nhất
Theo thông tin tình báo về mối đe dọa của Check Point, chăm sóc sức khỏe là ngành được tội phạm mạng nhắm tới nhiều thứ ba ở Anh – mặc dù nhiều nhóm ransomware đã khoe khoang rằng chúng không tấn công các tổ chức như vậy, đó là một lời nói dối hiển nhiên.
Họ nói rằng khi xem xét mức độ gây rối của các cuộc tấn công mạng đối với các dịch vụ chăm sóc quan trọng, các vi phạm thành công trong NHS sẽ có tác động lớn hơn nhiều so với các ngành khác, có nghĩa là các thành phần khác nhau của dịch vụ y tế cần phải đứng đầu trong trò chơi của họ.
Giám đốc an ninh thông tin toàn cầu (CISO) của Check Point, Deryck Mitchelson, người từng là CISO của NHS Scotland cho đến năm 2022 và cũng là thành viên của Ban cố vấn về khả năng phục hồi mạng quốc gia của Scotland (NCRAB), cho biết: “Chăm sóc sức khỏe là nơi săn lùng hoàn hảo cho tội phạm mạng. Nó có bề mặt tấn công rộng lớn bao gồm nhiều công nghệ mới hơn và kế thừa khác nhau, đồng thời phụ thuộc vào mạng lưới rộng lớn các nhà cung cấp bên thứ ba. Quy mô và độ phức tạp của các dịch vụ khiến việc phát hiện hành vi vi phạm, chẳng hạn như hành vi vi phạm này, trở nên rất khó khăn cho đến khi dữ liệu bị lọc hoặc mã hóa và các dịch vụ quan trọng bị ảnh hưởng.
Ông nói: “Cần có một chiến lược an ninh mạng toàn diện để loại bỏ sự phức tạp, giảm số lượng sản phẩm bảo mật và các biện pháp kiểm soát hiện hành”. “Ngoài việc tiết kiệm chi phí đáng kể, điều này còn mang lại khả năng hiển thị theo thời gian thực nâng cao và một lớp bảo mật phòng ngừa, giảm khả năng xảy ra một cuộc tấn công tương tự. Nếu không chấp nhận sự thay đổi như vậy, tôi e rằng chúng ta sẽ tiếp tục chứng kiến sự gián đoạn lớn đối với các dịch vụ quan trọng và dễ bị tổn thương nhất của mình”.
tiền chuộc Inc
Inc Ransom là một trong số các hoạt động ransomware mới nổi hiện dường như đang lấp đầy khoảng trống do các hành động thực thi pháp luật gần đây để lại đối với những thứ như ALPHV/BlackCat và LockBit. Nó xuất hiện lần đầu tiên vào tháng 7 năm 2023 và thực hiện một hoạt động tống tiền kép tiêu chuẩn – mặc dù hiện tại nó có vẻ đang tránh xa mô hình ransomware-as-a-service. Đó là một hoạt động hiểu biết về mặt kỹ thuật và giống như LockBit, tận dụng triệt để các lỗ hổng zero-day.
Inc Ransom có xu hướng ủng hộ các tổ chức tấn công trong lĩnh vực chăm sóc sức khỏe và giáo dục, tính đến năm 2024 đã nêu tên 20 nạn nhân.
Nhà nghiên cứu và kỹ sư phần mềm của Check Point Liad Dadash cho biết tuyên bố của nhóm này đã tấn công NHS Scotland là đáng được xem xét kỹ lưỡng.
Ông nói: “Vụ tấn công mạng được Inc Ransom tiết lộ công khai vào ngày 26 tháng 3 được cho là có liên quan đến một cuộc điều tra đang diễn ra tại NHS Dumfries và Galloway”. “Những gì chúng tôi biết là nhiều tài liệu do tội phạm mạng nắm giữ dường như đến từ cùng một khu vực xuất xứ, điều này làm tăng thêm độ tin cậy cho khẳng định của nhóm ransomware.”