A Zeppelin zsarolóvírus az egészségügyben
2022. november 18. 11:30
A Zeppelin ransomware-fertőzés kapcsán magyar egészségügyi szervezetnél is történt incidens, amely az intézmény informatikai hálózatának ideiglenes leállásához vezetett.
A zsarolóvírus támadások száma elképesztő mértékben emelkedik, ami a hazai szervezetek számára is vészjelzés, közli az Egészségügyi Kiberbiztonsági Szemle.
Mint írják, a Zeppelin ransomware-fertőzés kapcsán magyar egészségügyi szervezetnél is történt incidens, amely az intézmény informatikai hálózatának ideiglenes leállásához vezetett. Az incidens során a titkosított állományokat adatvesztés nélkül helyreállították, és az NBSZ NKI incidenskezelési vizsgálata alapján szenzitív adatok sem szivárogtak ki az intézménytől.
A ransomware-ek célkeresztjében sok esetben a társadalmak számára létfontosságú rendszerek állnak. Ennek oka feltehetőleg a magasabb fizetési hajlandóság, hiszen egyetlen döntéshozó sem szeretné kockáztatni, hogy a betegellátás leálljon vagy, hogy páciensek adatai váljanak nyilvánosan elérhetővé.
Fontos leszögezni, hogy a zsaroló váltságdíj kifizetése semmilyen garanciát nem jelent arra vonatkozóan, hogy az adatok majd visszaállíthatóak lesznek, ahogy arra sem, hogy a támadás ne ismétlődhessen meg akár ugyanazon a napon.
Mit tegyünk akkor? A CISA biztonsági figyelmeztetésében a Zeppelin ransomware kapcsán jól ismert, univerzális megelőző intézkedéseket emel ki, amelyek felett ma már nem lehet következmények nélkül szemet hunyni. A távoli hozzáférések védelméhez elengedhetetlen egy megbízható VPN szolgáltatás és a kétfaktoros hitelesítés bevezetése az internet irányából elérhető IT szolgáltatások esetében, az adathalászat felismerésére pedig extra figyelmet kell fordítani. Ezek olyan intézkedések, amelyek az áldozatul esett hazai intézmény számára is fontos tanulságot jelentenek.
*
2022. augusztus 11-én az FBI és a Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA) közös kiberbiztonsági ajánlást adott ki a Zeppelin zsarolóprogramok ismert jelzőinek (indicators of compromise=IOC) továbbá taktikáinak, technikáinak és eljárásainak ismertetésére (techniques, tools and processes=TTP), amelyek az FBI által azonosított zsarolóvírus-változatokhoz kapcsolódnak. Az ajánlás kimondja, hogy a Zeppelin ransomware a Delphi-alapú Vega malware család származéka, és Ransomware as a Service (RaaS) néven működik. A szereplők 2019-től legalább 2022 júniusáig használták ezt a rosszindulatú programot, hogy megcélozzák a vállalkozások és a kritikus infrastrukturális szervezetek széles körét, beleértve a védelmi vállalkozókat, oktatási intézményeket, gyártókat, technológiai vállalatokat, és különösen az egészségügyi és orvosi ágazat szervezeteit. A Zeppelin használóiról ismert volt, hogy bitcoinban kértek váltságdíjat, ahol a kezdeti összegek több ezer dollártól akár egymillió dollárig is terjedtek.
(forrás:
SE Egészségügyi Menedzserképző Központ)