Liverpoolu Alder Hey Children’s NHS Foundation Trust ujawniło, iż wspólna usługa obsługiwana przez nią samą i Fundacja NHS Foundation Trust, Szpital Chorób Serca i Klatki Piersiowej w Liverpoolu było źródłem włamania z żądaniem okupu INC, które miało wpływ na dane pacjentów w obu szpitalach, a także Królewski Szpital Uniwersytecki w Liverpoolu.
Atak, która wyszła na jaw 28 listopadabył świadkiem wycieku danych z systemów informatycznych trustów, ale nie są one powiązane z oddzielnym atakiem systemu typu ransomware na fundację Wirral University Hospitals NHS Foundation, która wydarzyła się kilka dni wcześniej i został powiązany z załogą RansomHub.
W aktualizacji udostępnionej 4 grudnia Alder Hey stwierdził: „Przestępcy uzyskali nielegalny dostęp do danych za pośrednictwem usługi bramy cyfrowej udostępnianej przez Alder Hey i Liverpool Heart and Chest Hospital.
„W rezultacie osoba atakująca bezprawnie uzyskała dostęp do systemów zawierających dane z fundacji Alder Hey Children’s NHS Foundation Trust, szpitala Liverpool Heart and Chest Hospital oraz niewielką ilość danych ze szpitala Royal Liverpool University Hospital.
Trust stwierdził, iż dochodzenie w sprawie dokładnie tego, jakie dane zostały skradzione, jest w toku i może zająć trochę czasu. Ostrzegł, iż istnieje możliwość opublikowania danych przez gang zajmujący się oprogramowaniem ransomware przed zakończeniem dochodzenia, co wskazuje, iż nie poddaje się i opiera się żądaniom, podobnie jak polityka sektora publicznego w Wielkiej Brytanii.
„Gdy tylko będziemy w stanie uzyskać aktualne informacje na temat wpływu na dane osobowe, przekażemy kolejną aktualizację. Kontynuowane są prace z Narodową Agencją ds. Przestępczości, aby zabezpieczyć systemy, których dotyczy problem, i podjąć dalsze kroki zgodnie z zaleceniami organów ścigania. Postępujemy również zgodnie ze wskazówkami Biura Komisarza ds. Informacji i zadbamy o to, aby z każdą osobą dotkniętą tym naruszeniem danych skontaktowano się bezpośrednio i udzielono jej wsparcia” – powiedział Alder Hey.
Dodatkowo podkreśliła, iż podstawowe usługi pierwszej linii pozostają nienaruszone i działają normalnie – pacjenci powinni przez cały czas uczęszczać na wizyty zgodnie z planem.
Trust dodał, iż wysiłki na rzecz naprawy gospodarczej poczyniły znaczne postępy. W oświadczeniu czytamy: „W ramach naszej reakcji na to zagrożenie poczyniliśmy postępy w zabezpieczaniu systemów, których dotyczy problem, i zapewnianiu, iż osoby atakujące nie będą miały stałego dostępu. Oznacza to, iż możemy rozpocząć ponowne podłączanie naszych systemów, gdy będzie to bezpieczne”.
Czy Citrix Bleed był zaangażowany?
Twierdzenie Alder Hey, iż usługa bramy cyfrowej służyła jako punkt wejścia dla operatorów INC Ransom, wydaje się potwierdzać wcześniejsze doniesienia – za Bezpieczeństwo informacji – iż gang zaatakował instancję Citrix obsługiwaną przez Trust.
W takim przypadku gang prawdopodobnie wykorzystał krytyczną lukę w zabezpieczeniach kontrolera dostarczania aplikacji (ADC) Citrix NetScaler i urządzeń Citrix NetScaler Gateway, oznaczoną jako CVE-2023-4966, ale bardziej znaną jako Citrix Bleed.
Odkryty pod koniec 2023 rokuCitrix Bleed umożliwia zarówno przejmowanie sesji, jak i ujawnianie danych. To jest jeden z najczęściej wykorzystywanych dni zerowych w ciągu ostatnich 12 miesięcy i był szeroko stosowany w atakach ransomware – zwłaszcza w szeregu głośnych incydentów z udziałem gangu LockBit. Według wywiadu SecureworksINC Ransom również zajęła się nim z wielkim entuzjazmem.
Rafe Pilling, dyrektor ds. wywiadu dotyczącego zagrożeń w jednostce ds. przeciwdziałania zagrożeniom Secureworks, powiedział: „Gangi przestępcze postępują oportunistycznie w pogoni za kolejną zapłatą i nie przejmują się konsekwencjami swoich działań. To, iż jest to wysokospecjalistyczny szpital dziecięcy, nie sprawi, iż nie będą spać. Widzieliśmy już wcześniej GOLD IONIC – grupę obsługującą oprogramowanie ransomware INC – uderzył w NHS Dumfries i Galloway. Ataki na pierwszą linię opieki zdrowotnej podkreślają, iż sektor ten jest bezbronnym celem i należy go chronić.
„Okup INC był jedną z najbardziej aktywnych grup zagrożeń zaobserwowanych przez Secureworks CTU w ciągu ostatniego roku, ponieważ zaczął działać w lipcu 2023 r. Jego ofiary zamieszkują głównie Stany Zjednoczone, jednak ich globalny zasięg rośnie. Jego ofiary reprezentują różne sektory, ale najczęstsze to organizacje przemysłowe, zdrowotne i edukacyjne”.
![Ceny prądu – Jaka jest cena za 1 kWh? [2025]](https://datawrapper.dwcdn.net/S2Dtm/full.png)
![Zamrożenie cen prądu [2024 / 2025]](https://datawrapper.dwcdn.net/P5nY2/full.png)
