Hakerska grupa LockBit 3.0 pohvalila se na platformi X kako je ransomwareom uspješno napala KBC Zagreb (Rebro).
Iako su iz bolnice neposredno nakon napada istaknuli kako podaci pacijenata nisu ugroženi, čini se da hakeri imaju drugu priču. Među ostalim, navode kako su navodno izvukli podatke o pacijentima, bolničke kartone, istraživačke radove liječnika, podatke o operacijama i donacijama organa, podatke o zaposlenicima, donacijama, podatke o medicinskim zalihama i druge dokumente.
Kako navode, rok za isplatu otkupnine je 18. srpnja.
🚨🚨 #CyberAttack #Healthcare🚨🚨
— HackManac (@H4ckManac) July 1, 2024
🇭🇷#Croatia: University Hospital Centre Zagreb (KBC Zagreb) has been listed as a victim by the LockBit 3.0 ransomware group.
The hackers allegedly exfiltrated:
- Medical records;
- Patient exams and studies;
- Doctors' research papers;
-… pic.twitter.com/EjnFWDKVAm
Tijekom noći s 24. na 25. lipnja kibernetički napad ciljao je Sveučilišni bolnički centar Zagreb u Hrvatskoj, što je prisililo bolnicu da u potpunosti ugasi svoju IT infrastrukturu. Napad je znatno oštetio bolnički digitalni sustav i uzrokovao privremeni povratak na ručni unos, stoji u objavi.
Što je ransomware i što napraviti ako se njime zarazite, pročitajte OVDJE.
Što je Lockbit?
Prema podacima SocRadara, Lockbit je grupa hakera bazirana u Rusiji koja se smatra jednom od najaktivnijih ransomware-grupa u svijetu. U 2023. godini upravo se njima pripisivala gotovo četvrtina svih prijavljenih ransomware-napada. Od originalne grupe Lockbit razvili su se Lockbit 2.0 i Lockbit 3.0, koji su nastavili originalno nasljeđe korištenja ransomwarea u napadima.
Smatra se kako Lockbit koristi model Ransomware-as-a-Service, odnosno pruža uslugu korištenja ransomwarea za napade na velike tvrtke i vladine organizacije. Poznati su po regrutiranju insajdera i privlačenju novih hakera raspisivanjem natjecanja i hakera na forumima na kojima se hakeri okupljaju.
Iako su prethodno ciljali Windows, Linux i VMware ESXi poslužitelje, navodno su razvili nove verzije svog LockBit enkriptora (kojim zaključavaju dokumente na hakiranim računalima), koji utječu i na druge sustave.
Lockbit Black odnosno Lockbit 3.0 pojavljuje se od srpnja 2022. godine, a u odnosu na svoje prethodnike prilagođavaju se različitim opcijama tijekom napada. Tako su poznati da koriste modularni pristup i šifriraju sadržaj do izvršenja, što otežava analizu i otkrivanje zlonamjernog softvera.
Poznati su po tome da ne napadaju zemlje pod ruskim utjecajem i one zemlje koje se smatraju ruskim saveznicima (poput Moldavije, Sirije).
Analitičari ističu da su često mete Lockbita 3.0 zemlje članice NATO-a, a oko polovice napada usmjereno je na američke tvrtke. Najviše ciljaju proizvodni i IT sektor, ali i sektore zdravstva i obrazovanja, a iako su im draže male i srednje organizacije, znaju se odlučiti i na napad na neku veću žrtvu.
Kako napadaju?
Ransomware-as-a-Service (Raas) može se koristiti na nekoliko načina. Jednom kad ransomware prodre u sustav žrtve (ili preko zaražene poveznice ili dokumenta, klasični phishing ili pak iskorištavanje ranjivosti u aplikacijama), hakeri mogu modificirati svoje ponašanje ne bi li ostali neprimijećeni. Koriste kodirane vjerodajnice ili kompromitirane račune s visokim pristupom u zaraženom sustavu za daljnje širenje. Nakon enkripcije dokumenata ostavljaju poruku o otkupnini i mijenjaju pozadinu i ikone u sustavu u Lockbit.
Koristeći Stealbit i druge alate za eksfiltraciju, izvlače osjetljive podatke iz sustava i koriste ih za dodatnu ucjenu žrtve.
Analitičari ističu kako postoji velika vjerojatnost da će se broj žrtava Lockbita u budućnosti samo povećavati.
Naime, iako im je u velikoj međunarodnoj akciji održanoj prije samo nekoliko mjeseci, Operaciji Cronos, prema podacima FBI-a "drastično narušeno djelovanje", čini se kako ih to nije ni usporilo ni zaustavilo.
