בית חולים באינדיאנה שילם כופר בסכום של 55 אלף דולרים כדי להיפטר מנוזקת כופר שהדביקה את מערכות המחשוב בשבוע שעבר.
ההדבקה התרחשה ביום חמישי, 11 בינואר, בשבוע שעבר כאשר התוקפים פרצו לרשת של בית החולים האיזורי הנקוק בעיר גרינפילד, אינדיאנה.
התוקפים הפיצו את נוזקת הכופר SamSam שהצפינה קבצים ושינתה את הסיומת שלהם ל-"I'm sorry" כך דווח בעיתון מקומי שדיווח על מתקפת הכופר בשבוע שעבר.
מערכות בית החולים הושפעו מיד מההתקפה. צוות ה-IT של בית החולים התערב והשבית את כל המערכות. העובדים התבקשו לכבות את כל המחשבים על מנת למנוע הפצה של נוזקת הכופר למחשבים נוספים.
יום למחרת, בית החולים כוסה בכרזות המבקשות מהעובדים לסגור את כל המחשבים עד שהמקרה יטופל.
מקור: bleepingcomputer.com
בעוד כמה אתרי חדשות דיווחו כי בית החולים נסגר, הצוות רפואי והניהולי המשיכו את עבודתם, אבל ממש כמו פעם עם עט ונייר במקום עם מחשבים והחולים המשיכו לקבל טיפול רפואי.
לבית החולים היו גיבויים אבל החליט לשלם את הכופר הנדרש
בבית החולים טענו כי למרות שיש ברשותם גיבויים, הם בחרו לשלם את דרישת הכופר של 4 ביטקוין, ששוויו היה כ-55 אלף דולר בזמן התשלום בשבת בבוקר (כמה ימים לאחר מכן ערך הביטקוין צנח משמעותית).
הנהלת בית החולים הסבירה לעיתונות המקומית כי שחזור מגיבויים לא היה פתרון אפשרי מכיוון שהיה לוקח מספר ימים ואפילו מספר שבועות עד שהיו משחזרים ומחזירים את המערכות לפעולה תקינה. לכן החליטו בבית החולים לשלם את הכופר על מנת להחזיר את המצב לקדמותו במהירות.
עד יום שני, כל המערכות חזרו לפעול ובית החולים שחרר הצהרה באתר שלו בו הודה שאכן חווה מתקפת כופר אך לא הרבה בפרטים.
בעבר נוזקת הכופר SamSam חדרה דרך RDP
נוזקת הכופר SamSam זוהתה כבר לפני שנתיים ושימשה רק להתקפות ממוקדות. התוקפים שמשתמשים בנוזקה זו בדרך כלל סורקים טווחי כתובות IP ברשת ותרים אחר מחשבים עם חיבורי (Remote Desktop (RDP פתוחים שמיועדים לחיבור משתמשים מחוץ לרשת. התוקפים חודרים לרשתות גדולות באמצעות התקפות brute-force על RDP של תחנות הקצה בארגונים ואז מפיצים את הנוזקה לשאר המחשבים. ברגע שיש להם נוכחות חזקה מספיק ברשת, התוקפים פורסים את SamSam וממתינים שהארגון ישלם את דרישת הכופר.
בית החולים אומנם לא אישר את תרחיש ההתקפה הטיפוסי של SamSam, אך גם טען שההדבקה לא הייתה מקרה של עובד שפתח דואר אלקטרוני נגוע.
אמיר כרמי מנהל הטכנולוגיות שלנו מסביר כי "ההתקפה הזאת היא חלק מטרנד שאנחנו רואים בשנים האחרונות של התקפות כופר שמנצלות חברות וארגונים שמאפשרים חיבורים מרחוק ללא שכבת אימות נוסף. אנו ממליצים שלא לאפשר חיבורי RDP ללא חיבור VPN ו\או אימות דו שלבי עם סיסמה חד פעמית שנשלחת לנייד. כך לא ניתן לבצע את הפריצה בקלות רבה כזו."
"המקרה הנוכחי מחזק את חשיבות בדיקת הגיבויים בשילוב של כלים המאפשרים שחזור מהיר של מערכות קריטיות. גם במקרה שאין את הכלים הללו, אנו ממליצים לא לשלם כופר לתוקפים, פעולה שרק מהווה תמריץ נוסף עבורם לבצע התקפות נוספות ולחזק את תשתית התקיפה."