Системы компании PhilHealth пали под натиском вымогателей из группы Medusa.
Филиппинская корпорация медицинского страхования (PhilHealth) восстанавливается после недавней кибератаки . Из-за активности вымогательского ПО пришлось отключить несколько веб-сайтов и информационных порталов. Расследование при поддержке других государственных структур началось сразу же.
PhilHealth предоставляет услуги страхования для 114 миллионов граждан. «Пока идет расследование, затронутые информационные системы будут временно отключены для защиты наших данных и программ», — заявляют представители.
В понедельник генеральный директор корпорации, Эммануэль Ледесма, сообщил, что доступ будет ограничен к порталам для партнерских учреждений, а также к системе электронной подачи исков. Восстановить ресурсы должны были к 25 сентября. Руководство также заверяет общественность, что ситуация под контролем: личные данные пациентов и персонала не пострадали.
Пока ключевые сервисы не работают, участникам программы страхования придется предоставлять бумажные копии документов, чтобы получить медицинскую помощь. Медучреждения вынуждены договариваться о льготных выплатах напрямую с пациентами, готовыми к выписке. Также PhilHealth решила добавить 60 дней к сроку подачи исков на возмещение расходов за период с июня по сентябрь текущего года.
По последним данным СМИ, атака произошла, когда истек срок подписки на антивирусное программное обеспечение организации. Срок действия лицензии страховщика истек несколько месяцев назад, но правила госзакупок не позволили продлить ее.
Ответственность за инцидент взяла на себя группировка Medusa. Об этом преступники сообщили на своем сайте утечек.
Организации дали 10 дней на оплату выкупа. Если крайний срок нужно будет продлить, руководству придется заплатить еще 100 тысяч долларов. За удаление всей украденной информации или предоставление доступа к ней требуют 300 тысяч долларов.
При этом хакеры не уточнили, какие конкретно данные были скомпрометированы и в каком объеме.
Ранее Агентство CISA в своем консультативном меморандуме предупреждало, что Medusa работает по схеме RaaS (Ransomware-as-a-Service – вымогательство как услуга).
Это означает, что группировка не только сама проводит кибератаки, но и предоставляет программу-вымогатель в аренду другим хакерам за процент от полученного выкупа.
Обычно аффилированные партнеры получают 60% от «выручки», а остальное Medusa забирает себе. Как отмечается в меморандуме, злоумышленники в первую очередь эксплуатируют уязвимости протокола удаленного доступа (RDP) для проникновения в сеть. После этого шифруют информацию и выдвигают жертве свои требования.
Предварительный анализ показал, что хакеры проникли в системы PhilHealth еще в июне 2023 года.
Спойлер: она начинается с подписки на наш канал