Szpitale i uniwersytet na Tajwanie ofiarami nowej grupy

Za incydent odpowiedzialny jest „Crazyhunter team”, który dotychczas wylistował pięć organizacji z Tajwanu. Według ransomware.live, posty miały być opublikowane 5 marca br. Wśród dotkniętych firm i podmiotów publicznych znalazły się trzy szpitale, uniwersytet oraz przedsiębiorstwo. W przypadku firmy Huangcheng Electric widnieje informacja o „udanej kooperacji” – nie wiadomo, czy opłacono okup.

Dotychczas nie wiadomo, czy „Crazyhunter” oznacza jedną osobę bądź grupę. W artykule będzie zastosowana liczba mnoga.

Atak na uniwersytet

Asia University) to prywatna szkoła wyższa, która w 2018 r. kształciła 12 tys. studentów.

„Włamaliśmy się do wewnętrznego systemu Asia University przez internet, przejęliśmy kontrolę nad kontrolerem domeny i masowo rozprowadziliśmy oprogramowanie szyfrujące, paraliżując ich działalność. Jednocześnie, w odwecie za brak zapłaty, nadpisaliśmy, usunęliśmy i sformatowaliśmy ich serwery oraz kopie zapasowe - łącznie 200 TB danych” – przekazali cyberprzestępcy. Dodali również zrzuty ekranu z rozmów na platformie Teams oraz zawartość skrzynki na Outlooku.

„Czy to nie jest absurdalne? Wolą spędzić miesiące na budowie nowego systemu i zmuszać studentów oraz nauczycieli do korzystania z papieru i długopisu do zapisywania swojej pracy, zamiast zapłacić okup. Co za samolubna szkoła” – stwierdziło CrazyHunter.

Nie dołączono dowodów kradzieży danych studentów i wykładowców.

Ataki na szpitale

W przypadku szpitala uniwersyteckiego nie dodano żadnych dowodów ataku. Inaczej sprawa ma się w sytuacji Szpitala Mackay, gdzie cyberprzestępcy opublikowali zrzuty ekranu z baz danych oraz zdalnego pulpitu. Oprócz tego dołączono link do postu na znanym forum hakerskim, który zawiera linki do plików z danymi. Crazyhunter twierdzą, że wykradziono ponad 16 milionów dokumentów.

Poddaliśmy analizie jedną z dołączonych próbek w poście. Rekordy zawierały m.in. adresy zamieszkania pacjentów. Warto podkreślić, że lokalne media już 11 lutego informowały o ataku ransomware.

„Przepraszam zwykłych ludzi, którzy ucierpieli w wyniku wycieku danych, ale musiałem to zrobić, ponieważ Szpital Mackay zmusił mnie do tego. To jego arogancja doprowadziła do tego wycieku danych” – skwitowali cyberprzestępcy.

Gigabajty w chmurze

W przypadku Changhua Christian Medical Foundation opublikowano link do plików zamieszczonych na znanym portalu do hostingu plików. Cyberprzestępcy opublikowali kilka gigabajtów danych.

Przeanalizowaliśmy plik „dbo.DaneOsobowe.table.sql”, który zajmuje nieco ponad gigabajt pamięci dyskowej. Znajduje się w nim ponad 1,3 mln linijek zawierających m.in. imiona i nazwiska oraz daty urodzenia.

Inne przypadki ze świata i Polski

Ataki na ochronę zdrowia niestety nie są niczym nadzwyczajnym. Niedawno miał miejsce atak na Szpital MSWiA w Krakowie, którego skutki obecnie nie są znane. W ubiegłym roku ofiarą cyberprzestępców padła Okręgowa Izba Pielęgniarek i Położnych w Gdańsku.

W ostatnim czasie byliśmy również świadkami ataku na szpital w Liverpoolu oraz Ministerstwo Zdrowia Palau.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].