Na nemocnici v Brně zaútočil vyděračský virus, špitál povolal krizového IT manažera

Jan Horák Jan Horák
20. 3. 2020 17:15
Je to přesně týden, co provoz Fakultní nemocnice Brno ochromil kybernetický útok. Podle zjištění deníku Aktuálně.cz útočník vnikl do IT systému nemocnice prostřednictvím kryptoviru Defray, který je typický při požadování výkupného. Nemocnice kvůli obnově systému povolala specialistu ze Všeobecné fakultní nemocnice v Praze Vlastimila Černého, na místě zůstávají experti z NÚKIB a NCOZ.
Ilustrační snímek
Ilustrační snímek | Foto: Shutterstock

"Část systému je obnovena, pracuje se na tom ve dne v noci. Na plné obnovení to bude ještě nějaký týden trvat. Já doufám, že se v pátek přehoupneme přes polovinu," popsal Aktuálně.cz současný stav odstraňování následků útoku ředitel nemocnice Jaroslav Štěrba.

Ačkoliv se kvůli tomu odložily plánované operace, čemuž do značné míry přispěla i epidemie koronaviru, základní provoz nemocnice je zajištěný.

Útok se spustil ve dvě hodiny ráno, virus začal postupně vyřazovat jednotlivé složky IT systému nemocnice. Špitál reagoval nejjednodušším způsobem. "Bylo potřeba vypnout všechny počítače," popsal v den události ředitel Štěrba. V nemocnici se přitom provádí testy při podezření na koronovirus, této činnosti se ale útok nedotknul.

Podle zjištění deníku Aktuálně.cz ze dvou spolehlivých zdrojů provoz nemocnice ochromil kryptovirus Defray. Šlo o cílený phishingový útok. Podstata phishingu spočívá v podvodném vylákání citlivých informací, kdy se základní nástroj útoku, nejčastěji e-mail, tváří jako důvěrně známý. Po jeho otevření kryptovirus pronikne do systému, kde jeho klíčové složky zašifruje.

"Pro Defray je typické to, že se zaměřuje na zdravotnická zařízení. Je to čistě vyděračský ransomware (ransom je výkupné, pozn. aut.). Kam se dostane, to zašifruje," popsal Aktuálně.cz v obecné rovině podstatu zmíněného kryptoviru Aleš Špidla, prezident expertního spolku Český institut manažerů informační bezpečnosti.

Defray napadá v první linii správce systému

Smyslem útoku je donutit instituci zaplatit za to, že útočník jim napadené části systému odblokuje. Špidla upozorňuje, že pro dešifrování souborů se základní taxa pohybuje kolem pěti tisíc dolarů v bitcoinech. Zda je požadavek na výkupné součástí ataku na brněnskou nemocnici, není oficiálně jasné. Ale podle informací Aktuálně.cz špitál skutečně obdržel adresu, kam má výkupné poslat.

Cílený phishing v podání kryptoviru Defray vypadá obvykle tak, že jeho průvodní e-mail má náležitosti komunikace známého odesílatele. Jinými slovy vypadá ve všech ohledech tak, že ho poslal někdo, s kým je osoba, která ho otevře, v běžném kontaktu. Před zasláním takového mailu útočník tráví čas zjišťováním, s kým vybraný člověk komunikuje, jakou ochranu napadená instituce používá a v čem je tato ochrana zranitelná.

Foto: FN Brno

V první linii útoku si hacker vybere uživatele, respektive počítač s velkými právy, ideálně jde po správci systému. Další jeho cesta je pak snadná. "Když získá kontrolu nad správou sítě, má celou instituci na dlani. Může začít útočit dovnitř samotného systému," vysvětlil Aktuálně.cz další typický rozměr útoku kryptovirem Defray René Pospíšil, manažer české pobočky firmy Bitdefender, jež se zabývá kybernetickou ochranou.

Útoky organizované skupiny

"Dnes se tyto útoky snaží zneužít situaci, která souvisí s nemocí Covid-19. V rámci nasazení bezpečnostních ochranných mechanismů jsou nemocnice velmi zranitelné, což útočníci dobře vědí. V případě takových kritických situací, jako je tato, instituce často sáhnou k tomu, že zaplatí," upozorňuje Pospíšil. 

Kryptovirus Defray je také zákeřný v tom, že zpravidla maže on-line zálohy dat napadeného systému. Jinými slovy on-line zálohy spojené s počítači, nad kterými útočník získal kontrolu, zničí. V takovém případě je pak nutná obnova části nebo, podle rozsahu zasažení, celé IT infrastruktury, což je finančně velmi nákladné. 

Za útoky kryptovirem Defray běžně stojí organizované skupiny s jasnou strukturou. Důvodem je, že jde v důsledku o výnosný vyděračský byznys. "To už nejsou šmudlíci s mikinou a bednou redbullu," říká prezident spolku manažerů kyberbezpečnosti Špidla. Problémem však bývá, že sami útočníci nejsou někdy schopni postižené soubory dešifrovat. Napadený si často musí pomoci sám prostřednictvím dekryptovacích programů.

Do Brna zamířil expert z pražské nemocnice

Podle zjištění deníku Aktuálně.cz požádala brněnská nemocnice v souvislosti s vypořádáváním se s následky útoku o pomoc náměstka pro informatiku a digitální transformace Všeobecné fakultní nemocnice v Praze Vlastimila Černého. Do Brna si s sebou vzal tým několika expertů, kolegů ze svého mateřského špitálu.  

"Je to krizový manažer, který u nás bude několik týdnů. Pomáhají nám s náběhem, protože ten náraz byl skutečně velký. Tuto pomoc jsme uvítali, navíc v době koronaviru. Pak se vrátí zpátky na své mateřské pracoviště," říká ředitel brněnské nemocnice Štěrba.

Ústřední orgán pro kybernetickou bezpečnost

Národní úřad pro kybernetickou a informační bezpečnost vznikl k 1. srpnu 2017, vydělil se z Národního bezpečnostního úřadu. Jeho vznik legislativně zastřešil zákon č. 181/2014 o kybernetické bezpečnosti. NÚKIB je ústředním správním orgánem pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany.
V praxi to znamená, že má chránit bezpečnost strategické kybernetické infrastruktury, detekovat případné útoky na tuto infrastrukturu a předcházet jim. 

V zahraničí má kyberattaché na čtyřech místech: 
Daniel Baggé (česká ambasáda ve Washingtonu), Robert Kahofer (Izrael), Roman Pačka (Stála delegace ČR při NATO v Bruselu), Jakub Otčenášek (Stálá delegace ČR při EU)

Zdroj: Jan Horák

Štěrbův špitál také poptává několik hardwarových multiduplikátorů pevných disků. Zařízení funguje tak, že je schopné rozkopírovat důležitá data ze zachovaného disku, nejčastěji zálohy, do postižených disků tak, aby fungovaly. "Potřebujeme je právě proto, abychom mohli obnovit činnost centrální informatiky," vysvětluje ředitel.

Vedle expertů z Národního úřadu pro kybernetickou a informační bezpečnost, kteří objasňují povahu útoku, jsou na místě i příslušníci Národní centrály proti organizovanému zločinu. Útok se prověřuje pro podezření z trestného činu. "Za dozoru Krajského státního zastupitelství v Brně byly zahájeny úkony trestního řízení, ke kvalifikaci se zatím vyjadřovat nebudeme," řekl Aktuálně.cz mluvčí brněnských žalobců Hynek Olma.

 

Právě se děje

Další zprávy