حمله سایبری به سازمان غیرانتفاعی بهداشت و درمان در کلرادو

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، سیستم سلامت اکسیس (Axis Health System)، که ۱۳ مرکز را در جنوب غربی و غرب کلرادو اداره می‌کند و به هزاران نفر خدمات ارائه می‌دهد، این هفته پیامی در وب‌سایت خود منتشر کرد و تأیید کرد که با یک حادثه سایبری مواجه شده است.

هنوز مشخص نیست که این حادثه چه زمانی آغاز شده و اکسیس نیز اطلاعات بیشتری ارائه نداده است.

این سازمان در بیانیه‌ای اعلام کرد:

به محض کشف حادثه، اکسیس به سرعت پروتکل واکنش به حادثه خود را دنبال کرد و اقداماتی برای متوقف کردن فعالیت و بررسی ماهیت و گستردگی این حادثه انجام داد. اگر مشخص شود که داده‌های بیماران تحت تأثیر قرار گرفته، افراد آسیب‌دیده از طریق پست مستقیم اطلاع خواهند یافت. ما هنوز در حال تحقیق درباره این حادثه هستیم.

این سازمان اضافه کرد که پورتال مراقبت‌های اولیه بیماران در حال حاضر به‌صورت آفلاین است.

مقامات به بیماران توصیه کردند:

اگر نیاز به ارتباط با ارائه‌دهنده خدمات خود دارید یا سوالات دیگری دارید، لطفاً مستقیماً با کلینیک خود تماس بگیرید.

این حمله روز پنجشنبه توسط گروه باج‌افزاری رسیدا (Rhysida) انجام شده که برای باز کردن قفل داده‌ها بیش از ۱.۵ میلیون دلار درخواست کرده است.

این گروه به دلیل حمله به سیستم‌های بیمارستانی و دولت‌ها مشهور شده است، و در سال گذشته چندین حادثه قابل توجه بر بیمارستان‌های تحت مدیریت پراسپکت مدیکال (Prospect Medical) و همچنین دولت‌های شهرهای کلمبوس در اوهایو و سیاتل در واشنگتن تأثیر گذاشته است.

این حمله در همان روزی آشکار شد که شرکت تحقیقات امنیتی سنسیس (Censys) گزارشی منتشر کرد که خطراتی را که سازمان‌های بهداشت و درمان با افشای دستگاه‌ها و سیستم‌های خود در اینترنت مواجه می‌شوند، برجسته کرد.

محققان ۱۴,۰۰۴ آدرس آی پی منحصر به فرد را شناسایی کردند که دستگاه‌های بهداشتی و سیستم‌های داده متصل به اطلاعات حساس پزشکی را در اینترنت عمومی افشا کرده‌اند.

آنها اظهار کردند:

این افشاها به‌شدت خطر دسترسی غیرمجاز و بهره‌برداری را افزایش می‌دهد. این رقم احتمالاً نمایانگر حداقل خطر کلی است، زیرا ممکن است دستگاه‌های بیشتری افشا شده باشند اما به‌صورت عمومی قابل مشاهده نباشند.

تقریباً نیمی از دستگاه‌های کشف‌شده در ایالات متحده قرار دارند و هند نیز بخش قابل توجهی از این دستگاه‌های افشاشده را به خود اختصاص داده است.

سرورهایی که برای مدیریت تصاویر پزشکی استفاده می‌شوند، ۳۶ درصد از این دستگاه‌های افشاشده را تشکیل می‌دهند، در حالی که سیستم‌های پرونده الکترونیک سلامت (EHR) ۲۸ درصد از این دستگاه‌ها را شامل می‌شوند.

برخی دیگر از پلتفرم‌های افشاشده شامل میرث کانکت (Mirth Connect) از شرکت مراقبل سلامت نکست جن (NextGen Healthcare) است که در ماه می، آژانس امنیت سایبری و زیرساخت‌های ایالات متحده (CISA) درباره بهره‌برداری فعال از یک آسیب‌پذیری در این ابزار که به مهاجمان غیرمجاز امکان دسترسی به درگاه‌های ورود و اطلاعات حساس بهداشتی را می‌داد، هشدار داده بود.

شرکت سینسیس همچنین حدود ۵,۱۰۰ سرور عمومی را شناسایی کرد که با پروتکل شبکه دیکام (DICOM) (ارتباطات دیجیتال در پزشکی) در حال اجرا بودند؛ پروتکلی که برای انتقال تصاویر پزشکی مانند ام آر آی (MRI) و سی‌تی‌اسکن استفاده می‌شود.

سنسیس بیان کرد که بیشتر سرورهای افشاشده‌ای که شناسایی کرده، به خدمات رادیولوژی و آسیب‌شناسی مستقل و همچنین بخش‌های تصویربرداری در شبکه‌های بیمارستانی بزرگ‌تر مرتبط هستند.

محققان توضیح دادند:

احتمالاً این مسئله به این دلیل است که مراکز رادیولوژی و محققان اغلب نیاز دارند تا تصاویر را با طرف‌های خارجی خارج از شبکه‌های خود به اشتراک بگذارند و بررسی کنند، که منجر به پیکربندی‌هایی می‌شود که دسترسی را به امنیت ترجیح می‌دهد. این موضوع اغلب منجر به قرارگیری سرورها و رابط‌های دیکام در اینترنت عمومی بدون کنترل‌های دسترسی مناسب مانند فایروال یا وی پی ان (VPN) می‌شود.

شرکت سنسیس اعلام کرد که با تمام سازمان‌هایی که شناسایی کرده، تماس گرفته و به آنها درباره افشای داده‌ها هشدار داده است و گفت که رهبران حوزه بهداشت و قانون‌گذاران باید قوانینی وضع کنند که دسترسی به سیستم‌های حاوی داده‌های حساس را محدود کرده و احراز هویت چندمرحله‌ای را اجباری کنند.