Злоумышленники требуют около 500 000 долларов выкупа у руководства крупной сети психотерапевтических клиник из Финляндии, Vastaamo. Так как Vastaamo – это общенациональная медицинская сеть, насчитывающая более десятка отделений, под угрозой оказались данные десятков тысяч пациентов. Хуже того, конфиденциальная информация о пациентах уже частично опубликована в даркнете, а с некоторыми клиентам Vastaamo хакеры и вовсе связались напрямую.
Руководство Vastaamo впервые объявило об инциденте официально на прошлой неделе. Тогда стало известно, что еще в сентябре 2020 года хакер вышел на связь с тремя сотрудниками медучреждения и потребовал 40 биткоинов выкупа (более 500 000 по текущему курсу), в противном случае угрожая опубликовать украденные данные пациентов.
Более того, по информации местных СМИ, злоумышленник уже претворяет свои угрозы в жизнь, и в даркнете были опубликованы не менее 300 историй болезни. Также сообщается, что не добившись ничего от руководства Vastaamo, вымогатель стал напрямую связываться с пациентами по электронной почте и требовать у них по 240 долларов в криптовалюте за удаление их записей из украденной БД. Судя по всему, злоумышленник додумался до этого после того, как несколько человек узнали об утечке и сами предложили хакеру деньги за удаление этой информации из БД. По сообщению Ilta Sanomat, для них шантажист установил цену в 0,05 биткоина (около 650 долларов).
То же издание отмечает, что злоумышленник «пишет на очень хорошем английском» и использует защищенные почтовые сервисы. Так, сначала хакер пользовался Tutanota, а затем перешел на Protonmail и Cock.li.
В минувшие выходные информацию о произошедшем официально подтвердило Национальное бюро расследований Финляндии, сообщив, что утечка затронула данные о десятков тысяч пациентов. В свою очередь, журналисты издания Helsingin Sanomat сумели узнать, что вымогатель уже «слил» не менее 2000 историй болезни. Они пишут, что хакер выложил файл размером 10 Гб с информацией о пациентах Vastaamo, включая их имена, номера социального страхования, почтовые и электронные адреса, номера телефонов, а также заметки терапевтов.
В настоящее время представители Vastaamo сообщают обновленные данные об инциденте почти ежедневно, и медучреждение работает над расследованием лучившегося совместно с Финским центром кибербезопасности, Valvira, и комиссаром по защите данных. Расследованию помогают и финские этичные хакеры, а технические аспекты взлома изучает ИБ-компания Nixu. Именно специалисты последней обнаружили, что сам взлом, вероятно, произошел еще в ноябре 2018 года.
Интересно, что случившееся было не единственной атакой на Vastaamo. Как стало известно теперь, в середине марта 2019 года произошел еще один инцидент, о котором было известно главе сети клиник, однако тот решил сохранить случившееся в тайне от совета директоров, властей и пострадавших. Когда о произошедшем стало известно, совет директоров Vastaamo освободил главу компании от занимаемой должности. При этом пока неизвестно, удалось ли хакерам похитить какие-либо данные во время мартовской атаки.
Согласно последним сообщениям Vastaamo и расследованию Nixu, пока подтверждается, что инфраструктура медучреждения не имела критических уязвимостей и не подвергалась атакам после марта 2019 года.
