Эксперты Microsoft и Mandiant выяснили, кто остановил работу служб здравоохранения Великобритании в августе

IT-компания Advanced, которая предоставляет ПО для Национальной службы здравоохранения Великобритании (National Health Service, NHS), подтвердила, что данные клиентов действительно были украдены в результате кибератаки, которая на несколько месяцев нарушила работу службы .

Атака была впервые отмечена 4 августа, когда Advanced быстро отключила часть своей инфраструктуры , чтобы предотвратить заражение других систем. Из-за этого несколько сайтов были недоступны для клиентов.

13 октября Advanced подтвердила , что финансово мотивированные киберпреступники смогли временно получить ограниченный объем информации относящейся к 16-ти клиентам ПО Advanced Staffplan и Caresys.

Компания сказала, что она восстановила ограниченный объем данных, которые злоумышленники украли из зараженных систем. Кроме того, компания следит за появлением своих данных в даркнете.

Доступ был получен через сеть Advanced с использованием легитимных сторонних учетных данных для настройки сеанса удаленного рабочего стола на сервере Staffplan Citrix.

Во время первоначального сеанса входа злоумышленник переместился в среду Advanced Health and Care и расширил привилегии, что позволило ему проводить разведку и развертывать вредоносные программы-шифровальщики. Непосредственно перед шифрованием систем злоумышленник скопировал и удалил ограниченный объем данных.

Microsoft и Mandiant, нанятые Advanced, подтвердили, что в ходе атаки использовалось вредоносное ПО LockBit 3.0 .

Advanced имеет 36 клиентов NHS, которые обслуживают тысячи медицинских работников. Затронутые услуги включали сервисы Adastra, Caresys, Carenotes, Crosscare, Odyssey и Staffplan. По некоторым данным, Adastra работает с 85% экстренных служб NHS 111. По данным Advanced, на данный момент все сайты компании восстановлены и работают.