Udany atak ransomware na Alab Laboratoria

Laboratoria Alab zostały zaatakowane przez bliżej nieznaną grupę ransomware RA World. Do sieci miało wyciec 55 089 wyników badań pochodzących od ponad 12 tys. osób – tak wygląda próbka upubliczniona przez hackerów.

Atak dotknął osoby, które w latach 2017-2023 wykonywały badania medyczne w sieci Alab Laboratoria. Według serwisu bezpieczeństwa Zaufana Trzecia Strona, który ujawnił skalę ataku danych, który twórcy ransomware ujawnili, w sieci znalazły się wyniki 55 089 badań dotyczących 12 076 unikatowych numerów PESEL, czyli tyle osób ma swoje wyniki badań upublicznione w Internecie. Grupa RA World, która dokonała ataku nie jest bliżej znana.

Próbka, którą przestępcy przekazali do serwisów sieciowych to 5GB danych z testów laboratoryjnych oraz 1 GB umów zawieranych przez Alab. Ten drugi plik jest ważny dla firmy, gdyż pokazuje całkowicie jej biznes, jego mocne i słabe strony, zaś pierwszy może mieć potencjalnie duże oddziaływanie niszczące na jej klientów. Pierwszy elementem tworzącym zagrożenie są dane osobowe: kompletne teleadresowe z numerem PESEL, czasem NIP, w wielu przypadkach także serią i numerem dowodu osobistego – doskonałe dane do założenia firm słupów, wzięcia kredytów, dokonania oszustw „na jednoosobową działalność”, czy fałszywego żyrowania pożyczek.

Drugim zagrożeniem są bezpośrednie dane, pogrupowane w trzech katalogach zawierających 110 000 plików, przy czym każdy z plików to wynik badania klientów firmy. Istnieją one w dwóch typach plików: czytelnego pliku PDF i pliku XML z takimi samymi danymi, łatwego do przetwarzania maszynowego, np. przekazania w sieci do lekarza prowadzącego terapię lub przetwarzania BigData. Najnowsze dane pochodzą z 23 września 2023 r. Wyniki umieszczone w sieci nie zawierają konkretnych typów badań, lecz wszystkie – od immunologii poprzez posiewy, cytologię po biochemię. Na ile ujawnienie tych danych może zaszkodzić, okaże się w przyszłości. Stanem zdrowia pracowników mogą się zainteresować nieuczciwi pracodawcy, członków zarządów spółek – nieuczciwi wspólnicy.

RA World żąda okupu i jeśli go nie otrzyma ma opublikować plik danych 264 GB zawierający pełne dane z Alab. Obecna próbka ma być efektem „braku odzewu na ich propozycje”, czyli po prostu przedstawienie wartości okupu za nieujawnianie danych.

Analitycy Zaufanej Trzeciej Strony po sprawdzeniu zauważyli, że o ile istotnie przestępcy zawsze spełniali swoje zapowiedzi i publikowali dane, to często nie można ich ocenić, bowiem niemal zawsze był to jeden plik. Pobranie pliku 264 GB w obecnych warunkach nawet z najszybszego serwera jest po prostu niemożliwe.

Alab Laboratoria miały już w swojej historii atak ransomware w 2018 roku. Miano po nim wdrożyć dodatkowe procedury bezpieczeństwa. Niestety obecnie nie zadziałały.