14 мая 2021 года Исполнительный орган службы здравоохранения Ирландии (HSE) подвергся атаке программы-вымогателя, которая затронула несколько служб в их сети. Национальный центр кибербезопасности (NCSC) совместно с HSE и партнерами расследуют этот инцидент и принимают меры реагирования на него. Процесс продолжается.
Вредоносная киберактивность была также обнаружена в сети Департамента здравоохранения (DoH) рано утром в пятницу (14 мая 2021 года), однако из-за развертывания инструментов в процессе расследования попытка запуска программы-вымогателя была обнаружена и остановлена. Считается, что эти атаки являются частью одной и той же кампании, нацеленной на сектор здравоохранения Ирландии.
Предпосылки
В четверг днем (13.05.2021) Национальному центру кибербезопасности стало известно о потенциальной подозрительной активности в сети Департамента здравоохранения (DoH), и он немедленно начал расследование совместно с DoH и сторонним поставщиком услуг безопасности для определения характера и степени любой возможной угрозы.
Предварительные расследования выявили подозрение на наличие средства удаленного доступа Сobalt strike Beacon. Cobalt strike часто используется злоумышленниками для перемещения в пределах среды до выполнения payload программы вымогателя.
Примерно в 07:00 14 мая Национальному центру кибербезопасности стало известно о серьезном инциденте, затрагивающем системы Исполнительного органа службы здравоохранения (HSE). Первоначальные отчеты указали на управляемую человеком атаку программы-вымогателя Conti, в результате которой был выведен из строя ряд систем и потребовалось отключение большинства других систем HSE.
Рано утром в пятницу (14 мая 2021 г.) вредоносная киберактивность была также обнаружена в сети DoH, однако из-за сочетания работы антивирусного программного обеспечения и развертывания инструментов в процессе расследования попытка запуска программы-вымогателя была обнаружена и остановлена.
HSE приняла решение отключить все свои ИТ-системы в качестве меры предосторожности, чтобы оценить и ограничить воздействие.
Ответные меры
Национальный центр кибербезопасности активировал свои процедуры реагирования на кризисные ситуации и оказывает поддержку и помощь HSE и Департаменту здравоохранения в реагировании на инцидент и восстановлении после него.
Национальный центр кибербезопасности также продолжает мониторить другие сети, чтобы снизить риск дальнейших атак.
Национальный центр кибербезопасности разослал соответствующие рекомендации государственным организациям после дальнейшего анализа этой кибератаки.
В качестве меры предосторожности сотрудники HSE ограничили сетевое подключение к другим поставщикам медицинских услуг.
Влияние кибератаки
Имеются серьезные последствия для работы системы здравоохранения, и некоторые неэкстренные процедуры откладываются, поскольку больницы реализуют свои планы обеспечения непрерывности деятельности.
На национальную программу вакцинации это не повлияет.
Информация об услугах HSE в условиях восстановления после кибератаки размещается на соответствующей веб-странице HSE Cyber Attack.
По материалам отчета Национального центра кибербезопасности