.
A Advanced, fornecedora de software gerenciado para o Serviço Nacional de Saúde do Reino Unido, confirmou que os dados dos clientes foram realmente retirados como parte do ataque de criminosos cibernéticos que interrompeu as operações por meses.
O ataque foi notado pela primeira vez em 4 de agosto, quando a Advanced prontamente puxou uma parte de sua infraestrutura offline para conter a propagação da infecção para outros sistemas. Como tal, vários sites hospedados para clientes estavam indisponíveis.
O incidente interrompeu os clientes de assistência médica, forçando os operadores de serviços médicos do NHS 111, por exemplo, a voltar a usar papel e caneta quando os serviços digitais desapareceram, disseram fontes na época.
Em um atualização do incidente ontema Advanced confirmou que os “autores do ataque, que foram motivados financeiramente por natureza, conseguiram obter temporariamente uma quantidade limitada de informações de nosso ambiente referentes a 16 de nossos clientes Staffplan e Caresys”.
A Advanced agora informou esses clientes, como é seu dever legal, sobre os “dados exfiltrados”. A atualização do incidente da empresa diz que nenhum dado foi retirado dos outros produtos que ela hospeda e que “recuperou a quantidade limitada de dados” que os criminosos roubaram dos sistemas infectados.
“[W]e acredito que a probabilidade de danos aos indivíduos é baixa”, acrescenta. “Isso se baseia na experiência considerável de nosso fornecedor especialista em inteligência de ameaças com casos dessa natureza e no fato de que não há evidências que sugiram que os dados em questão existam em outro lugar fora de nosso controle. Estamos, no entanto, monitorando a dark web como uma medida de cinto e suspensórios e informaremos imediatamente no caso improvável de essa mudança de posição
Quanto ao ponto de entrada? O acesso foi obtido através da rede da Advanced usando credenciais legítimas de terceiros para configurar uma sessão de Área de Trabalho Remota para o servidor Staffplan Citrix.
“Durante a sessão de logon inicial, o invasor se moveu lateralmente no ambiente de Saúde e Cuidados da Advanced e escalou privilégios, permitindo que eles conduzissem reconhecimento e implementassem malware de criptografia. Imediatamente antes de criptografar os sistemas, o agente da ameaça copiou e extraiu uma quantidade limitada de dados”, diz a atualização.
A Microsoft e a Mandiant, contratadas pela Advanced, confirmaram que o tipo de malware implantado no ataque foi o LockBit 3.0, a versão mais recente do ransomware lançada em junho.
“A análise forense está quase completa e, neste estágio, é altamente improvável que haja descobertas adicionais”, afirma Advanced na atualização do incidente.
Ele diz que, ao detectar a atividade suspeita na rede, “desconectou todo o ambiente de Saúde e Cuidados” para conter a propagação da infecção; que “ao tomar essa ação, nossos clientes perderam o acesso” a essas plataformas; acrescentando que um “número limitado de ambientes e serviços não relacionados à saúde e assistência, como eFinancials”.
Avançado é entendido como tendo 36 clientes do NHS que prestam serviços a milhares de profissionais de saúde. Os serviços impactados incluíram a hospedagem de Adastra, Carey’s, Carenotes, Crosscare, Odyssey e Staffplan. Diz-se que o Adastra trabalha com 85% dos serviços do NHS 111.
A realização de um processo de garantia para reconstruir os serviços de saúde e cuidados afetados, supervisionado pelo Centro Nacional de Segurança Cibernética da Grã-Bretanha, o NHS e o NHS Digital, “levou mais tempo do que o esperado” e “impactou nosso tempo geral de recuperação”, diz o relatório do incidente.
Avançado anteriormente nos disse em 12 de agosto esperava se recuperar em questão de semanas. A recuperação do ransomware leva em média entre 7 a 21 dias, e, sem surpresa, o tempo de inatividade é o elemento mais caro. E superar o ataque em si pode custar 10 vezes a demanda de resgate.
O relatório do incidente acrescenta: “Estamos trabalhando diligentemente e trazendo todos os recursos, incluindo especialistas externos em recuperação, para nos ajudar a restaurar os serviços para nossos clientes o mais rápido possível e, nesse ínterim, fornecendo extratos de dados e auxiliando no planejamento de contingência conforme apropriado. .”
De acordo com Advanced ontem, cerca de 90 por cento dos sites hospedados Adastra estão online novamente e todos os sites hospedados para Odyssey estão no ar. A reconstrução e os testes preliminares da base Carenotes estão completos e os clientes Crosscare podem solicitar extrações de dados. O trabalho de recuperação na Caresys, a partir de 29 de setembro, “continua a progredir”, e os clientes hospedados do Staffplan podem solicitar extrações de dados.
Strong The One perguntou à Advanced se alguma equipe se adiantou para assumir a responsabilidade pelo ataque, se um resgate foi pago e questionou a natureza dos dados que foram exfiltrados. ®
.
