Atak ransomware na firmę Octapharma Plasma, centrum pobierania krwi i przygotowywania osocza do celów medycznych, prawdopodobnie jest częścią wojny hybrydowej. Od około roku działania „aktorów państwowych”, głównie Rosji i Chin, są w praktyce nieodróżnialne od działań podziemia kryminalnego. Prawdopodobnym jest, że cybergangi są wynajmowane są przez wywiady zwłaszcza rosyjskie. Rosja bowiem nie kryje się z takimi działaniami.
Jak oficjalnie poinformowała Octapharma Plasma „problemy z siecią informatyczną” spowodowały zamknięcie 150 centrów firmy USA. Według nieoficjalnych informacji przyczyną ma być infekcja wyjątkowo złośliwą odmianą ransomware. Octapharma Plasma nie potwierdza tego, ale też i nie zaprzecza. „Wszystkie centra mają problemy z siecią i są obecnie zamknięte. Dalsze aktualizacje dotyczące ponownego otwarcia będą przesyłane e-mailem, mediami społecznościowymi, aplikacją OctaApp i naszą stroną internetową” – stwierdza po prostu baner umieszczony na stronie internetowej firmy.
Według branżowego portalu The Register, zatrudniająca 3500 osób tylko w USA Octapharma Plasma padła ofiarą infekcji ransomware BlackSuit. Cyberprzestępcy mieli się włamać do systemów VMware spółki i „próbowali pójść wyżej”, czyli włamać się do systemów spółki macierzystej, której Octapharma Plasma jest częścią. Jest przy tym niemal pewne, że przestój w USA wpłynie na dostawy osocza do europejskich oddziałów Octapharma.
„Jeśli nie przywrócą systemów będą musieli zamknąć swoje fabryki w Europie ponieważ ponad 75% ich plazmy pochodzi z USA. Kierownictwo IT nie przejmowało się bezpieczeństwem i teraz musi wyciągnąć wnioski” – stwierdzili informatorzy portalu.
Octapharma Plasma to spółka należąca do międzynarodowej firmy Octapharma Group z siedzibą w Niemczech prowadzącą działalność w 118 krajach świata z dochodem operacyjnym w wysokości 436 mln euro w 2023 roku i sprzedażą na poziomie 3,266 mld euro.
Co ciekawe, BlackSuit to stosunkowo nowa odmiana oprogramowania ransomware, która dzieli kod z wcześniejszą wersją ransomware Royal, Royal znowu jest następcą Conti, znanego rosyjskiego rannsomware, które „zapadło się pod ziemię” razem z jego twórcami w czerwcu 2022 roku. Według FBI i Interpolu producentów wszystkich tych odmian ransomware należy szukać w Rosji.
Jeszcze w listopadzie 2023 roku Departament Zdrowia i Opieki Społecznej Stanów Zjednoczonych ostrzegł przed atakami wczesnej wersji BlackSuit stwierdzając, że ransomware to prawdopodobnie zostało ukierunkowane na ataki na organizacje zajmujące się opieką zdrowotną i zdrowiem publicznym, stosując taktykę podwójnego wymuszenia: najpierw kradnie poufne pliki, a następnie szyfruje dane w zaatakowanych sieciach, a potem żąda okupu.
Wiadomo, że w sprawie infekcji Octapharma Plasma prowadzone są działania śledcze FBI i że firma ta dołączyła do długiej listy amerykańskich i europejskich szpitali, placówek ochrony zdrowia, ambulatoriów, stacji krwiodawstwa i firm medycznych które w obecnym roku zostały już dotknięte atakami różnych form malware w tym ransomware.
Ataki te mają jeszcze drugie dno. Niedługo po zniknięciu „załogi”, czyli cybergangu odpowiedzialnego za ransomware Conti, z Rosji wyciekły, być może na zasadzie świadomego przecieku, założenia do nowej strategii Sił Zbrojnych Rosji określające „cyberoperacje przeciwko miękkim celom potencjalnego nieprzyjaciela, jak instytucje edukacyjne, szpitale, placówki ochrony zdrowia i firmy ochrony zdrowia, jako działania szczególnie pożądane w ramach wojny hybrydowej pozostającej pod progiem konfliktu zbrojnego”. Przeciek ten został potwierdzony w styczniu br. oficjalnym ogłoszeniem strategii działania Sił Zbrojnych Rosji, gdzie takie passusy się znalazły. W marcu br. Europejska Agencja ds. Cyberbezpieczeństwa ostrzegła przed atakami ransomware na wszelkie możliwe instytucje także opieki zdrowotnej w Unii Europejskiej, stwierdzając iż dokonują ich hackerzy powiązani z Rosją, a ich celem jest „wywołanie chaosu i zaburzeń społecznych”. W lutym 2024 r. o takich samych działaniach mówił szef FBI, Christopher Wray, twierdząc, że to „elementy ataku hybrydowego na amerykańską infrastrukturę krytyczną”.
„Te ataki w USA i Europie to już nie czerwona lampka, to dzwon alarmowy – w każdej chwili możemy spodziewać się ataków na dużą skalę na instytucje ochrony zdrowia, także w Polsce. Atakujący systemy szpitali, aptek czy przychodni ma przy tym dwa cele. Pierwszym jest uniemożliwienie pacjentom, ale i samym lekarzom, dostępu do terapii i leków, które ratują zdrowie i życie. Drugim jest podważenie zaufania do instytucji opieki zdrowotnej bo pacjenci im ufają, że bezpiecznie przechowują ich dane i historię choroby a tu naraz wypływają one na rynek. W wielu krajach, jak USA i części krajów Unii, oznacza to pozwy zbiorowe przeciwko takim instytucjom, a wysokość odszkodowań może je zrujnować. Po cichu też sprawy załatwić się nie da, bo gangusom – przecież to są gangi – zależy na maksymalnej destabilizacji i chaosie, nawet więc jak zaatakowani zapłacą okup, nic im to nie pomoże. Ci ludzie pracują dla Rosji, dla jednego z rosyjskich wywiadów i wcale nie muszą nosić mundurów. Po łagrach i więzieniach siedziało tam sporo informatyków za różne przestępstwa przede wszystkim finansowe. Ich, jak innych łagierników, też objął ukaz Putina o prezydenckim pardonie dla tych, którzy pójdą walczyć za Rosję. A walczyć można w różny sposób, nie tylko z AK-74 w ręku” – powiedział ISBiznes.pl polski analityk wojskowy.
„Tak, najprawdopodobniej tak jest” – zgadza się w rozmowie z ISBiznes.pl Anna Maria Dyner, analityk ds. Rosji w Polskim Instytucie Spraw Międzynarodowych – „Dążąc do osiągnięcia swoich celów na Ukrainie, Rosja zwiększa zakres aktywności hybrydowych wymierzonych w państwa NATO i Unii Europejskiej. To wojna informacyjna, cyberataki lub akty sabotażu wymierzone w infrastrukturę krytyczną państw NATO i UE. A instytucje ochrony zdrowia to infrastruktura krytyczna. Takie działania mają spotęgować obawy europejskiej i amerykańskiej opinii publicznej, wywołać chaos i zdestabilizować społeczeństwo. Prócz wspierania Ukrainy zbudowania wiarygodnych zdolności odstraszania Rosji, musimy też w większy sposób skoordynować nasze wspólne działania w walce z zagrożeniami hybrydowymi”
FBI, CISA, Europejskie Centrum ds. Walki z Cyberprzestępczością Europolu i holenderskie Narodowe Centrum Cyberbezpieczeństwa opublikowały niedawno poradnik dotyczący ransomware Akira. Jak stwierdzono w nim, autorzy tego ransmoware infekują nim sieci firmowe „głównie wykorzystując znane luki w zabezpieczeniach Cisco”. Akira jest również związana z rosyjskimi cybergangami.
