Güncelleme: Makale ve başlık, etkilenen hastanelerin artan sayısını yansıtacak şekilde revize edildi.
Romanya genelinde 100 hastane, sağlık yönetim sistemlerine yapılan fidye yazılımı saldırısının ardından sistemlerini çevrimdışına aldı.
Hastanelerin tıbbi faaliyetleri ve hasta verilerini yönetmek için kullandığı Hipocrate Bilgi Sistemi (HIS) hafta sonu hedef alındı ve veri tabanı şifrelendikten sonra artık çevrimdışı oldu.
Halihazırda 25 hastanenin verilerinin saldırganlar tarafından şifrelendiği doğrulanırken, HIS kullanan diğer 75 sağlık tesisi de olay araştırılırken önlem olarak sistemlerini çevrimdışına aldı.
Romanya Maliye Bakanlığı, “11-12 Şubat 2024 gecesi, HIS bilgi sistemini çalıştıran üretim sunucularını büyük bir fidye yazılımı siber saldırısı hedef aldı. Saldırı sonucunda sistem çöktü, dosyalar ve veritabanları şifrelendi.” Sağlık dedi.
“Olay, aralarında Ulusal Siber Güvenlik Müdürlüğü’nün (DNSC) siber güvenlik uzmanlarının da bulunduğu bilişim uzmanları tarafından araştırılıyor ve iyileşme olasılıkları değerlendiriliyor. Saldırıdan etkilenmeyen diğer hastaneler için de olağanüstü ihtiyati tedbirler devreye sokuldu.”
Fidye yazılımı saldırısı, bölgesel ve kanser tedavi merkezleri de dahil olmak üzere Romanya’daki çeşitli hastaneleri etkiledi ve DNSC siber güvenlik uzmanlarından oluşan bir ekip şu anda saldırının etkisini araştırıyor.
DNSC, saldırganların hastanelerin verilerini şifrelemek için Phobos ailesinden bir fidye yazılımı türü olan Backmydata fidye yazılımını kullandığını söylüyor.
DNSC, “Etkilenen hastanelerin çoğunun, etkilenen sunucularda verilerinin yedekleri var; verileri nispeten yakın zamanda (1-2-3 gün önce) kaydedildi, verileri 12 gün önce kaydedilen bir hastane dışında.” dedi.
Saldırganlar 3,5 BTC (yaklaşık 157.000 €) tutarında fidye talebinde bulundu. Ancak fidye notunda saldırıyı iddia eden grubun adı geçmiyor, yalnızca e-posta adresi belirtiliyor.
Kağıda geri dön
Sistemler çevrimdışına alındığı veya kapatıldığı için doktorlar reçete yazmaya ve kayıtları kağıt üzerinde tutmaya geri dönmek zorunda kaldı.
Bölgesel Onkoloji Enstitüsü Iasi (IRO Iasi) yöneticisi Mirela Grosu, Agerpres’e “400 bilgisayar ve sunucu kapatıldıktan sonra çoğunlukla kağıt üzerinde çalıştık” dedi.
“Yani sürekli kabul kayıtlarını kağıt üzerinde yaptık, günlük giriş kayıtlarını kağıt üzerinde yaptık, tıbbi test önerilerini kağıt üzerinde yazdık. Tıpkı yıllar önce yaptığımız gibi her şey kağıt üzerinde yapılıyor.”
Sistem mühendisi Florin Trandabăţ, “Tüm sunucular kapatıldı. İnternet de kapatıldı, dolayısıyla herhangi bir kayıp, veri sızıntısı veya başka bir şey olmayacak” diye ekledi.
Şu anda, hastanelerin tıbbi hizmetler yönetim platformunu hangi fidye yazılımı operasyonunun şifrelediği veya olay sırasında hastaların kişisel veya tıbbi verilerinin çalınıp çalınmadığına dair hiçbir bilgi yok.
Hipocrate sağlık sisteminin arkasındaki yazılım hizmet sağlayıcısı RSC (Romanian Soft Company SRL), bu olayla ilgili henüz kamuya bir açıklama yapmadı.
BleepingComputer e-posta ve telefon yoluyla iletişime geçtiğinde RSC sözcüsü yorum yapmak için müsait değildi.
12 Şubat 11:29 EST güncellemesi: Hastanelerin yedekleri olduğunu ve saldırganların Backmydata fidye yazılımını kullandığını belirten DNSC beyanı eklendi
13 Şubat 05:43 EST Güncellemesi: DNSC, dört hastanenin daha verilerinin şifrelenerek toplam sayının 25’e çıktığını ancak şu anda veri hırsızlığına dair bir kanıt bulunmadığını söyledi.