Peretas menggunakan kredensial “sah” untuk menembus jaringan vendor

Lanjutan, layanan TI penyedia Layanan Kesehatan Nasional Inggris (NHS), telah mengonfirmasi bahwa penyerang mencuri data dari sistemnya selama serangan ransomware bulan Agustus, tetapi menolak untuk mengatakan apakah data pasien telah disusupi.

Advanced pertama kali mengonfirmasi insiden ransomware pada 4 Agustus menyusul gangguan luas pada layanan NHS di seluruh Inggris. Serangan itu menghentikan sejumlah layanan organisasi, termasuk sistem manajemen pasien Adastra, yang membantu penangan panggilan non-darurat mengirimkan ambulans dan membantu dokter mengakses catatan pasien , dan Carenotes, yang digunakan oleh perwalian kesehatan mental untuk informasi pasien.

Dalam pembaruan tertanggal 12 Oktober dan dibagikan dengan TechCrunch pada hari Kamis, Advanced mengatakan malware yang digunakan dalam serangan itu adalah LockBit 3.0, menurut responden insiden perusahaan, bernama Mandiant dan Microsoft. LockBit 3.0 adalah operasi ransomware-as-a-service (RaaS) yang melanda Foxconn awal tahun ini.

Dalam laporan insiden yang diperbarui, Advanced mengatakan bahwa penyerang awalnya mengakses jaringannya pada tanggal 2 Agustus menggunakan kredensial pihak ketiga yang “sah” untuk membuat sesi desktop jarak jauh ke server Staffplan Citrix perusahaan, yang digunakan untuk menjalankan sistem penjadwalan dan daftar pengasuhnya. Laporan tersebut menyiratkan bahwa tidak ada otentikasi multi-faktor yang akan memblokir penggunaan kata sandi yang dicuri.

“Penyerang bergerak secara lateral di lingkungan Advanced’s Health and Care dan meningkatkan hak istimewa, memungkinkan mereka melakukan pengintaian, dan menyebarkan malware enkripsi,” kata Advanced dalam pembaruan.

Lanjutan mengatakan beberapa data yang berkaitan dengan 16 pelanggan Staffplan dan Caresys (mengacu pada kepercayaan NHS) “disalin dan dieksfiltrasi,” sebuah teknik yang dikenal sebagai pemerasan ganda, di mana penjahat dunia maya mengekstraksi data perusahaan sebelum mengenkripsi sistem korban.

Dalam pembaruan, Advanced mengatakan “tidak ada bukti” yang menunjukkan bahwa data yang dipermasalahkan ada di tempat lain di luar kendali kami dan “kemungkinan bahaya terhadap individu rendah.” Ketika dihubungi oleh TechCrunch, Chief Operating Officer Lanjutan Simon Short menolak untuk mengatakan apakah data pasien terpengaruh, atau apakah Lanjutan memiliki sarana teknis, seperti log, untuk mendeteksi jika data diekstraksi.

Situs kebocoran web gelap Lockbit 3.0 tidak mencantumkan data Lanjutan atau NHS pada saat penulisan. Short juga menolak mengatakan apakah Advanced membayar uang tebusan.

“Namun, kami memantau web gelap sebagai ukuran ikat pinggang dan kawat gigi dan akan segera memberi tahu Anda jika posisi ini berubah,” kata Advanced dalam pembaruan.

Advanced mengatakan tim keamanannya memutus seluruh lingkungan Kesehatan dan Perawatan untuk menahan ancaman dan membatasi enkripsi, yang mematikan sejumlah layanan di NHS. Pemadaman yang diperpanjang membuat beberapa perwalian tidak dapat mengakses catatan klinis dan yang lainnya terpaksa mengandalkan pena dan kertas, BBC News melaporkan pada bulan Agustus.

Advanced mengatakan pemulihannya dari insiden tersebut kemungkinan akan lambat, mengutip proses jaminan yang ditetapkan oleh NHS, NHS Digital, dan Pusat Keamanan Siber Nasional Inggris.

“Ini memakan waktu dan sumber daya intensif dan terus berkontribusi pada garis waktu pemulihan kami,” kata Advanced. “Kami bekerja dengan rajin dan mengerahkan semua sumber daya, termasuk spesialis pemulihan dari luar, untuk membantu kami memulihkan layanan kepada pelanggan kami secepat mungkin.”

Industri perawatan kesehatan tetap menjadi prioritas utama bagi pelaku ransomware. Awal bulan ini, raksasa rumah sakit AS CommonSpirit dilanda insiden keamanan siber yang mengganggu layanan medis di seluruh negeri — yang kemudian dikonfirmasi sebagai serangan ransomware.