Kinessiske hackere angriber hospitaler i Israel, med DeepBlueMagic og BESTCRYPT kryptering fra firmaet Jetico. Flere data er allerede gået tabt

En eller flere hackergrupper, har i siden tirsdag nat udført en fælles kampagne med angreb på flere hospitaler i Israel. Disse har formentligt en baggrund i 1 eller 2 kinessiske hackergrupper. Blandt de hårdest ramte er Hillel Yaffe Medical Center-hospitalet i Tel Aviv. Her bruges nu papir og blyant på 6 dag, mens man prøver på at gendanne systemerne. Det er Hillel Yaffe Medical Center hospitalet der siger af patientjournalerne ikke kunne gendannes og offentlig institutioner må ikke betale løsesummer. Derfor kan flere data være slettet som hævn.

Patientjournaler kan ikke findes mere på serverne. Ej heller på backup. Der er angiveligt ikke lavet en Ransomware sikker backup af backuppen, siden de endnu ikke er oppe. Der er tale om ihvertfald 10 israeliske hospitaler og andre offentlige medicinske organisationer der er blevet udsat for Ransomware. Det skriver NCD National Cyber Directorate og Sundhedsministeriet i Israel, i en pressemeddelelse her til morgen. Hackerne har haft held til at inficere alle 10 steder og afpresser nu formentligt for penge.

Ingen har taget ansvaret endnu, men hackerne har brugt DeepBlueMagic-værktøjet, der deaktiverer sikkerhedsløsninger, som normalt registrerer og blokerer filkrypteringsforsøg.

Der er formentligt tale om den kinesiske statsstøttede hackergruppe APT31. De er ikke kendt for at dumpe sin fangst på Darknet. De har nemlig tidligere angrebet franske organisationer. Dengang var det dog kompromitterede routere. Dengang udtalte det franske nationale agentur for informationssikkerhed (ANSSI) og CERT-FR lå hackergruppen stod bag de kompromitterede routere. Derfra kunne man spionerer og udfører cyberangreb. Det var også delvist APT31 der stog bag de omfattende Microsoft Exchange Hacking, der mest gik udover USA.

APT31 er kendt for at sende Excel-filer, at benytte Social Engineering og har formentligt scannet samtlige routere i verden for inficeret dem de kunne. Filer fra APT31 der indeholder script der kan give adgang til forskellige protokoller og oversigter på netværk. Gruppen bruger ca. 200 IP-adresser, men det er ofte andre ofres IP adresser. Tallet er formentligt over 100.000, men Cyjax har lavet en grafik over de lande, der hoster adresserne som de kender, som man kan se på Twitter. APT31 står bag spionage mod regeringer og en lang række organisationer og virksomheder.

DeepBlueMagic bruger BESTCRYPT fra firmaet Jetico

Ifølge flere kilder på web, er ‘DeepBlueMagic’ Ransomware identificeret som en relativ ny Ransomware som startede i JULI i år. Siden DeepBlueMagic kan registrere software der registrerer og blokerer filkrypteringsforsøg, og sætte dem ud af kraft, giver det naturligvis et af tidens stærkeste Ransomware værktøjer til vellykkede angreb. Flere kilder har fastslået, at denne trussel benytter sig af ‘BestCrypt’ harddisk krypteringsværktøj til at kryptere enheder. Den komprimerer hele filer og mapper og ikke dele af dem som andre Ransomware værktøjer.

BESTCRYPT er et meget udbredt krypterings og dekrypteringssystem til disksystemer, men ikke f.eks. backup og deduplikering. Det udgives også af det amerikanske firma Jetico. Men benyttes nu i et af verdens mest farlige Ransomware værktøjer.

APT31 er den største hackergruppe i verden, men de benytter også andre navne herunder ‘Zirconium’ og ‘Panda’. Gruppen menes at stå bag hackingangreb, forskellige botnet og Spyware på routere og inficerede servere i næsten alle lande i hele verden. Kina nægter at APT31 står bag hacking og ransomware overalt i verden, mens de fleste regeringsledere og udenrigsministre placerer ansvaret for dette hos Kina.

Scroll til toppen