Các tin tặc đằng sau cuộc tấn công mạng đang diễn ra nhằm vào 5 bịnh viện ở phía tây nam Ontario đã đánh cắp thông tin cá nhân của gần 300,000 người – bao gồm hơn 5,6 triệu hồ sơ chỉ thông qua một cơ sở dữ liệu – database.
Lần đầu tiên kể từ khi vụ tấn công tàn khốc được phát hiện vào ngày 23 tháng 10, các bịnh viện đã đưa ra một tuyên bố chung vào thứ Hai 6/11 nêu rõ một số “kết luận sơ bộ” mà họ đã đưa ra từ cuộc điều tra về âm mưu tống tiền.
Bản tin được đưa ra một ngày sau khi tin tặc tung đợt dữ liệu bị đánh cắp thứ ba – chủ yếu từ Bluewater Health của Sarnia – lên web đen.
Bluewater Health dường như bị ảnh hưởng nặng nề nhất. Nó đã xác nhận hành vi trộm cắp một cơ sở dữ liệu chuyên để làm các báo cáo bao gồm thông tin liên quan đến khoảng 5,6 triệu lượt khám của khoảng 267,000 bịnh nhân.
Các tổ chức cho biết: “Tất cả các bịnh viện đều có một mức độ nào đó thông tin của bịnh nhân và nhân viên bị ảnh hưởng. Tất cả các bịnh viện của chúng tôi đang rốt ráo điều tra dữ liệu bị đánh cắp để xác định xem ai bị ảnh hưởng. Quá trình khó khăn này sẽ mất thời gian. Tất cả các bịnh viện đều cam kết minh bạch và sẽ cung cấp thông tin cập nhật thường xuyên khi chúng tôi tìm hiểu thêm. Các nhóm chuyên viên vẫn tiếp tục làm việc suốt ngày đêm để khôi phục hệ thống. Trong những ngày tới, chúng tôi phỏng định sẽ cung cấp lịch trình về việc khôi phục hoạt động tại các bịnh viện của chúng tôi.”
Một băng nhóm tội phạm trên không gian mạng có tổ chức với tên Daixin Team đã nhận trách nhiệm đánh cắp hàng triệu hồ sơ từ Bluewater Health, Chatham-Kent Health Alliance, Erie Shores HealthCare, Hôtel-Dieu Grace Healthcare và Bịnh viện khu vực Windsor. Cuộc tấn công cũng khóa các bịnh viện khỏi hệ thống dựa trên công nghệ của chính họ.
Bọn tội phạm nhắm mục tiêu vào các bịnh viện thông qua Tổ chức dịch vụ chia sẻ TransForm, tổ chức vận hành hệ thống cho cả năm cơ sở.
Các bịnh viện đã báo cáo phát hiện của họ cho Ủy viên Thông tin và Quyền riêng tư Ontario, cho biết vụ tấn công không liên quan đến việc đánh cắp cơ sở dữ liệu liên quan đến thông tin của nhà tài trợ, bảng lương nhân viên hoặc tài khoản phải trả. Nhưng tất cả các bịnh viện vẫn cung cấp cho nhân viên và nhân viên chuyên môn giám sát tín dụng miễn phí trong hai năm.
Hồ sơ sức khỏe điện tử chứa biểu đồ y tế của bịnh nhân không bị ảnh hưởng ở hầu hết các bịnh viện. Bluewater Health là ngoại lệ.
Theo tuyên bố chung, “Những kẻ tấn công đã nhắm mục tiêu vào báo cáo cơ sở dữ liệu bịnh nhân của Bluewater Health. Họ cũng có thể đánh cắp dữ liệu từ một máy chủ hoạt động chứa dữ liệu chung của nhân viên được tất cả các bịnh viện của chúng tôi xử dụng. Dữ liệu này dùng chung bao gồm thông tin về bịnh nhân và nhân viên với số lượng và độ nhạy cảm khác nhau.”
Các bịnh viện cho biết dữ liệu bị đánh cắp có nhiều định dạng khác nhau, một số trong đó dễ phân tích hơn.
Các tổ chức cho biết: “Trong khi các bịnh viện đang chia sẻ thông tin cập nhật ngày hôm nay, vui lòng hiểu rằng cần phải làm nhiều việc hơn để hiểu chính xác những cá nhân nào và loại dữ liệu nào đã được lấy cắp”.
Bluewater Health cho biết họ vẫn đang cố gắng xác định chính xác thông tin và các cá nhân trong cơ sở dữ liệu bị đánh cắp và sẽ thông báo cho những người bị ảnh hưởng.
Bịnh viện cho biết thêm, mặc dù một số thông tin của nhân viên bị ảnh hưởng nhưng họ đã đưa ra “kết luận sơ bộ” rằng không có số bảo hiểm xã hội hoặc thông tin ngân hàng nào bị lấy đi.
Tại Bịnh viện Khu vực Windsor, “một phần rất hạn chế” dữ liệu chung mà nhân viên bịnh viện xử dụng đã bị xâm nhập. Bịnh viện cho biết đánh giá sơ bộ cho thấy một số bịnh nhân đã được xác định tên. Một số bịnh nhân cũng được xác định bằng một bản tóm tắt ngắn gọn về tình trạng bệnh lý của họ, nhưng không có bất kỳ biểu đồ bịnh nhân hoặc hồ sơ y tế điện tử nào.
Bịnh viện cho biết một số thông tin của nhân viên cũng bị truy cập nhưng nói thêm rằng không có thông tin ngân hàng hay số bảo hiểm xã hội nào bị lấy đi.
Các quan chức của Chatham-Kent Health Alliance cho biết dữ liệu chung bị ảnh hưởng tại bịnh viện của họ có chứa một số thông tin bịnh nhân và thông tin này vẫn đang được phân tích.
Bịnh viện cho biết: “CKHA có thể xác nhận hành vi trộm cắp báo cáo cơ sở dữ liệu nhân viên chứa thông tin về 1.446 cá nhân được CKHA tuyển dụng tính đến ngày 2 tháng 2 năm 2021. Nếu bạn làm việc cho CKHA vào ngày đó, CKHA tin rằng dữ liệu của bạn đã bị lấy đi, bao gồm tên, địa chỉ, số bảo hiểm xã hội (SIN), giới tính, tình trạng hôn nhân, ngày sinh và mức lương căn bản. Báo cáo cơ sở dữ liệu này dường như không bao gồm nhân viên chuyên nghiệp hoặc thiện nguyện viên.”
Bịnh viện cho biết không có thông tin ngân hàng nào bị đánh cắp.
Erie Shores HealthCare cho biết họ cũng có một ổ đĩa dữ liệu chung chứa một số thông tin bịnh nhân bị ảnh hưởng. Bịnh viện cho biết họ đã xác định được một “bộ dữ liệu bị đánh cắp có giới hạn” bao gồm số bảo hiểm xã hội của khoảng 352 nhân viên hiện tại và trước đây.
Bịnh viện cho biết họ sẽ thông báo riêng cho những người bị ảnh hưởng, nhưng nói thêm rằng không có thông tin ngân hàng nào bị đánh cắp.
Hôtel-Dieu Grace Healthcare cho biết dữ liệu chung bị đánh cắp cũng chứa thông tin bịnh nhân và thông tin này vẫn đang được phân tích. Tổ chức này cho biết một số thông tin nhân viên đã bị đánh cắp, nhưng có vẻ như thông tin ngân hàng hoặc số bảo hiểm xã hội không bị lấy cắp.
Các bịnh viện đã phát hiện vụ tấn công này vào sáng ngày 23 tháng 10. Cuộc tấn công là một phần của kế hoạch tống tiền, nhưng các quan chức chưa tiết lộ yêu cầu tiền chuộc là gì. Các bịnh viện cho biết họ sẽ không trả tiền chuộc.
Để trả thù, bọn tội phạm bắt đầu tung dữ liệu bị đánh cắp lên web đen vào thứ Năm. Họ đăng thêm thông tin vào thứ Sáu và một lần nữa vào Chủ nhật. Các tin tặc đã hứa sẽ phát hành nhiều dữ liệu hơn bao gồm cả rò rỉ đầy đủ, điều này “sẽ sớm xảy ra”.
Trong bản tuyên bố chung của các bịnh viện vào hôm thứ Hai 6/11: “Chúng tôi lên án hành động của tội phạm mạng, trong lãnh vực chăm sóc sức khỏe và các nơi khác, trong cộng đồng của chúng tôi và trên toàn thế giới. Chúng tôi hiểu mối lo ngại do sự cố này đã gây ra trong cộng đồng của chúng tôi, bao gồm cả bịnh nhân, nhân viên và nhân viên chuyên môn của chúng tôi, và chúng tôi xin lỗi sâu sắc.”
Brett Callow, nhà phân tích về các mối đe dọa của công ty an ninh mạng quốc tế Emsisoft Ltd., cho biết việc đăng thông tin theo từng giai đoạn là một phần của chiến lược nhằm gây áp lực lên các bịnh viện và buộc họ phải trả tiền chuộc.
Callow cho biết: “Nếu họ tiết lộ tất cả dữ liệu cùng một lúc, họ sẽ không có cơ hội trích được khoản thanh toán. Nếu họ phát hành nó thành nhiều phần, họ vẫn có hy vọng đưa tin về các bịnh viện và vụ việc, đồng thời tiếp tục gây áp lực.”
Callow cho rằng việc từ chối trả tiền chuộc là bước đi đúng đắn.
“Tôi có thể nói rằng quyết định không trả tiền là 100% đúng đắn. Việc thanh toán chỉ đơn giản là khiến tổ chức khác nằm trong tầm ngắm của băng đảng.”
“Ngay cả khi bạn trả tiền, họ sẽ chỉ tay hứa sẽ tiêu hủy dữ liệu bị đánh cắp đó, nhưng hoàn toàn không có cách nào để biết rằng họ thực sự sẽ làm như vậy. Ngoài ra, thanh toán không nhất thiết phải là cách khắc phục nhanh chóng để đưa tất cả các hệ thống trở lại hoạt động. Nó vẫn có thể là một quá trình lâu dài và phức tạp.”