Hacket hospital betaler 113.000 kroner til ransomware-bagmænd

Et amerikansk hospital har opgivet at fjerne ransomware og har nu betalt 40 BitCoins for at få adgang til egne computere og data.

Et amerikansk hospital, der i starten af måneden blev sendt til tælling af et omfattende ransomware-angreb, har nu betalt bagmænd 17.000 dollar for at få adgang til vital data og udstyr.

En læge på hospitalet har tidligere fortalt NBC, at kravet fra hackerne lød på 9.000 BitCoins - svarende til godt 24 millioner kroner.

I en meddelelse afviser hospitalets chef, Allen Stefanek, at hospitalet er punget ud med så højt et beløb. Det endelige krav har i stedet lydt på 40 BitCoins til en værdi af omkring 113.000 kroner.

Læs også: Hospital lukket ned af ransomware

'Den hurtigste og mest effektive måde at genskabe vores systemer og administrative funktioner var at betale løsesummen og få krypteringsnøglen,' skriver Allen Stefanek om beslutningen.

Hollywood Presbyterian Medical Center blev ramt af ransomware d. 5. februar og kontaktede med det samme politiet. Ifølge hospitals-chefen har flere it-eksperter været inde over for at hjælpe mod angrebet, som forhindrede brug af for eksempel CT-scanneren og adgang til patientjournaler.

Læs også: Beskytter I jeres backupsystem godt nok?

Det går ikke altid heldigt til, når virksomheder oplyser, at man har betalt løsesum. It-mediet CIO beskriver, hvordan det schweitzisk baserede mail-selskab ProtonMail i november betalte for at undgå vedvarende DDoS-angreb. Effekten var, at en ny hackergruppe med det samme angreb selskabet i håb om endnu en udbetaling.

ProtonMail oplyste senere, at selskabet fortrød betalingen og aldrig ville betale løsesum igen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (8)

Michael Jensen

Et par udfordringer ved det;

1: Man kan ikke stole på dataen man får tilbage. De kan have ændret på alt det de vil.

2: Man støtter kriminelle og/eller terrororganisationer, der kan koste flere liv end dem man pt. forsøger at redde ved at genskabe dataen.

3: Jo flere der betaler, jo større incitament har de kriminelle for at fortsætte. Især når sådanne større beløb betales. Så er der lige til at dække udviklingen af næste version af cryptolockeren.

4: Er det overhoved lovligt at betale bagmændene hvis man ikke ved hvem de er? Jeg går godt nok ind for bitcoins osv, men hvis man betaler til nogen på terrorlister og lignende, er det vel reelt ulovligt? Mon nogen kigger på den vinkel?

Peter O. Gram

Jeg skal ikke tale de kriminelles sag. Dette her handler om en dømmebøde, der kunne være undgået ved rettidig omhu.
Ad 1) Ved angrebet har de krypteret data. Dataene kan enten dekrypteres eller ikke. Jeg har endnu ikke hørt om en dekryptering, der ser ud til at være lykkedes, men alligevel efterlader let ændrede data.
Ad 2) Her er tale om driften af et konkret hospital vs størrelsen af den mer-skade forbryderne kan gøre med 117.000 kr.
Ad 3) Enig, så mere fokus på at højne sikkerhedsbevidstheden hos brugerne.
Ad 4) Måske får de svært ved at trække det fra i skat, men ellers er der ikke noget ulovligt i det. Møder du en mørk aften en mand, der med en pistol i sin hånd forlanger, at du udleverer din pung, gør du jo ikke noget ulovligt ved at efterkomme ordren.

Jeg forstår godt, at stater har et benhårdt princip om ikke at forhandle med gidseltagere, men i det konkrete tilfælde, synes jeg, at hospitalet skal være glade for at være sluppet så billigt fra sådan en kapitalbrøler.

Morten Grøftehauge

Peter O. Gram, du kan ikke samtidig kalde det for en dummebøde og så sammenligne det med et gaderøveri. Du ved heller ikke om det her var 0-day eller inside job hvor "rettidig omhu" ikke hjælper så meget. I det hele taget er jeg ikke glad for dummebøde analogien ("Jeg kunne bore havedøren op med en batteridrevet boremaskine så jeg tog dit tv som betaling for at gøre dig opmærksom på den svaghed i din hjemmesikkerhed").

Peter O. Gram

@Morten: Uanset årsagen havde hospitalet en stor, utilsigtet sårbarhed, som de har fået synliggjort for 117.000 kr. Det er en billig penetreringstest. Jeg har hørt eksempler på, at forskere gemmer års forskningsresultater på en bærbar og ingen andre steder af frygt for kompromittering. Hvis jeg var chef for sådan en forsker, ville jeg af to onder hellere foretrække ransomware end at den bærbare blev stjålet. Pointen er, at der er "forbrydere" på begge sider. Det er også en "forbrydelse" ikke at sikre sine data. Man kan selvfølgelig ikke gardere sig mod 0-day, men så må man sørge for tilstrækkelige beredskabsplaner og segmentering af sit netværk, styr på rettigheder o.s.v.

Michael Jensen

Tak for kommentarerne Peter.
I din kommentar til punkt 1 har du måske misforstået hvad jeg mente.

Jeg mente ikke, at en kryptering eller dekryptering ville "ændre lidt" på data. Jeg er helt enig i, at de enten kan dekrypteres, eller ikke. Der kan højst gå noget metadata tabt.

Jeg mente til gengæld, at man ikke aner hvorvidt malwaren "kun" krypterede og dekrypterede dataen. Sandsynligvis var det simpel ransomware, der ikke anede hvad det havde fat i af data. Men risikoen er til stede, for at banditterne har haft alle muligheder for bevidst at ændre på data før krypteringen.

Hvis ikke hospitalet har en metode til f.eks. at beregne checksummer på al dekrypteret data, med baggrund i et saltet hash hvor banditterne ikke har haft adgang til salten, ligger der en stor opgave i at verificere dataens korrekthed på anden vis, når malwaren er væk og dataen dekrypteret.

Forestil dig at ligge på operationsbordet; "Jaeh, vi har fået dine resultater og prøver dekrypteret nu, og så håber vi det er det rigtige der står i dem. Vi prøver med de her tal..."

  • Det svarer til at en drugrape-pusher har stjålet ens drink på diskoteket, og man så får vristet drinken tilbage lidt senere på aftenen. Den har man ikke lige lyst til at drikke videre på...
Peter O. Gram

@Michael: Ja, det er dybt vand det her. Lidt a la første indlæg (Lars). Kan man overhovedet stole på forbrydere? Er svaret ubetinget nej, så er betaling af løsesum udelukket, og hvad er så plan B? Eller er der noget at bygge en tillid på, hvis plan B er for dyr? Hvis jeg skal være djævlens/forbryderens advokat, så vil jeg sige ja. Forbryderne har også en forretning, der skal fortsætte og deres egne sære form for moral. Hvad ville de vinde ved at snyde "kunden"? Der er (bl.a.) cyberterrorister og cyberkriminelle. Det, vi er ude i her, er om vi tror at den cyberkriminelle i virkeligheden er mere interesseret i terror end økonomisk vinding. Eller både/og?

Jacob Larsen

Du ved heller ikke om det her var 0-day eller inside job hvor "rettidig omhu" ikke hjælper så meget


Nu dækker rettidig omhu også over en fornuftig backup med kopier tilpas utilgængelige. Hvis dataene virkelig er så vigtige at det kan betale sig at punge ud med store summer til kriminelle, der måske vil give de rigtige data tilbage, så kan det også betale sig at have den store forkromede backup løsning kørende. Det er jo ligemeget om data er krypterede hvis man bare kan hente en kopi frem fra backuppen.

Log ind eller opret en konto for at skrive kommentarer