Operatorii de ransomware își sună victimele pentru a le informa că au fost atacate

Angajații unei clinici stomatologice din statul american Georgia au aflat că sistemele lor au fost infectate cu ransomware abia după ce atacatorii i-au sunat să îi informeze cu privire la atac.

Pe 9 septembrie, angajații clinicii stomatologice Galstan & Ward Family and Cosmetic Dentistry (Galstan & Ward) au aflat că sistemele lor au fost infectate cu ransomware „când au primit un telefon de la o grupare care susținea că i-a atacat și care solicita răscumpărare”, conform DataBreaches.net.

Doctorii Galstan și Ward au observat o serie de anomalii la sistemul informatic, dar nu s-au gândit că e ceva serios. După ce au contactat un furnizor de servicii IT care să le ofere asistență pentru remedierea problemelor, aceștia au primit telefonul prin care au aflat că „numeroase fișiere de pe serverul lor au fost postate pe un site web de pe Dark web”.

Conform notificării trimise clienților pe 13 noiembrie, fișierele nu conțineau informații despre pacienți. Potrivit notificării, clinica Galstan & Ward a solicitat consiliere din exterior, „care a implicat imediat o firmă de securitate cibernetică pentru a efectua o analiză și a oferi servicii de remediere”.

„Analiza lor a confirmat faptul că pe serverul restabilit nu mai există malware. Firma de securitate nu a găsit semne care să indice faptul că datele cu caracter personal ale pacienților, care erau stocate pe sistemul software al clinicii stomatologice Galstan & Ward, au fost accesate sau extrase. Anchetele suplimentare nu au descoperit indicii cum că informațiile cu caracter personal ale pacienților au fost accesate sau extrase”, a comunicat clinica părților afectate.

Pentru că Galstan & Ward stochează numele pacienților, codurile numerice personale, datele de naștere, adresele și dosarele stomatologice, clinica oferă tuturor pacienților care ar putea fi afectați servicii gratuite de monitorizare a cardului bancar și servicii de restabilire a identității după furt, prin intermediul IDX.

Conform legii, clinica a informat Departamentul pentru Sănătate și Servicii Umane al SUA (HHS) în legătură cu incidentul.

Într-o actualizare a anunțului inițial, DataBreaches.net anunță că atacul ransomware folosit a fost Conti. Același tip de cod a fost folosit în atacul ransomware asupra Advantech, când atacatorii au solicitat o răscumpărare de 14 milioane de dolari de la producătorul de microcipuri IoT.

Se consideră că Wizard Spider, gruparea de infractori cibernetici care a dezvoltat și care distribuie Trickbot Trojan, folosește cel mai des ransomware-ul Conti.