Злом лікарні за допомогою програми-вимагача розкрив дані 337 917 пацієнтів

Атака програми-вимагача на Cookeville Regional Medical Center: що сталося

Масштабний витік даних у Cookeville Regional Medical Center (CRMC) у Теннессі торкнувся майже 338 000 осіб, що робить його одним із найбільш значних інцидентів із програмами-вимагачами у сфері охорони здоров'я, про які повідомлялося останніми місяцями. Лікарня офіційно повідомила регуляторів про витік, поклавши відповідальність за атаку на угруповання Rhysida — кіберзлочинну організацію з задокументованою історією нападів на медичні установи.

Згідно з розкритою CRMC інформацією, зловмисники викрали приблизно 500 ГБ конфіденційних даних до того, як витік вдалося локалізувати. Скомпрометована інформація включає імена пацієнтів, номери соціального страхування, записи про медичне лікування та дані фінансових рахунків. CRMC розпочала розсилку повідомлень 337 917 постраждалим особам 18 квітня 2026 року — після тривалого криміналістичного розслідування масштабів та характеру інциденту.

Розрив між атакою та повідомленням відображає, наскільки складними можуть бути такі розслідування. Медичні організації повинні ретельно встановити, до яких саме даних було отримано доступ, кому вони належать і які регуляторні зобов'язання застосовуються, перш ніж зв'язуватися з постраждалими.

Що являє собою угруповання Rhysida

Rhysida — це операція з надання програм-вимагачів як послуги (ransomware-as-a-service), яка активна щонайменше з 2023 року. Угруповання зазвичай отримує початковий доступ через фішингові електронні листи або використовуючи викрадені облікові дані, після чого переміщається мережею, викрадає дані та розгортає шифрування. Модель подвійного вимагання означає, що жертви стикаються одночасно із заблокованими системами та загрозою публікації або продажу їхніх даних у разі несплати викупу.

Медичні організації є частими мішенями, оскільки вони зберігають цінні особисті та медичні дані, нерідко використовують застарілі системи з відомими вразливостями та перебувають під величезним тиском щодо якнайшвидшого відновлення роботи служб. Цей тиск може схиляти їх до виплати викупу, що своєю чергою робить їх привабливими цілями.

Витік даних у CRMC є показовим прикладом того, як одне успішне вторгнення може скомпрометувати записи сотень тисяч людей, включаючи таку чутливу інформацію, як медичні історії та номери соціального страхування.

Що це означає для вас

Якщо ви отримали повідомлення від CRMC або були пацієнтом цього закладу, вам слід негайно вжити конкретних заходів.

Уважно стежте за своїми фінансовими рахунками. Витік розкрив дані фінансових рахунків разом із персональною ідентифікаційною інформацією. Регулярно перевіряйте виписки з банківських рахунків і кредитних карток на наявність незнайомих операцій. Зв'яжіться з вашою фінансовою установою, якщо помітите щось підозріле.

Встановіть заморожування кредиту або попередження про шахрайство. Оскільки серед скомпрометованих даних були номери соціального страхування, постраждалі особи мають підвищений ризик крадіжки особистості. Заморожування кредиту у всіх трьох основних кредитних бюро (Equifax, Experian та TransUnion) запобігає відкриттю нових рахунків на ваше ім'я без вашого явного дозволу. Попередження про шахрайство — менш жорсткий варіант, який позначає вашу справу для додаткової перевірки.

Будьте пильні щодо спроб фішингу. Зловмисники, які отримують дані під час таких витоків, часто використовують їх для складання переконливих фішингових листів або телефонних дзвінків. Скептично ставтеся до небажаних повідомлень, які посилаються на вашу медичну допомогу, особливо тих, що просять вас натиснути посилання або надати додаткову особисту інформацію.

Уважно ознайомтеся з повідомленням. Лист від CRMC повинен містити деталі про те, яка саме інформація була скомпрометована у вашому випадку, а також про будь-які послуги кредитного моніторингу або захисту особистості, які пропонує лікарня. Скористайтеся цими послугами, якщо вони доступні.

Як медичні організації та працівники можуть знизити ризики

Для медичних працівників та адміністраторів такі інциденти, як витік у CRMC, підкреслюють важливість багаторівневих заходів безпеки. Крадіжка облікових даних є одним із найпоширеніших способів проникнення для угруповань, що використовують програми-вимагачі. Використання VPN, особливо в незахищених або публічних мережах, допомагає шифрувати трафік і знижує ризик перехоплення облікових даних під час передачі. Це особливо актуально для медичних працівників, які дистанційно отримують доступ до записів пацієнтів або лікарняних систем.

Окрім використання VPN, надійна гігієна паролів і багатофакторна автентифікація у всіх системах, що обробляють захищену медичну інформацію, є обов'язковими. Навчання з питань фішингу залишається одним із найефективніших захистів від початкових тактик вторгнення, на які покладаються такі угруповання, як Rhysida.

Регулярні перевірки того, хто має доступ до чутливих систем, у поєднанні з контролем доступу за принципом мінімальних привілеїв, також можуть обмежити переміщення зловмисника після проникнення в мережу. 500 ГБ даних, викрадених із CRMC, свідчать про те, що зловмисники мали достатньо часу та доступу для переміщення значними частинами інформаційного середовища лікарні.

Як залишатися захищеним від витоків даних у сфері охорони здоров'я

Витік даних у CRMC є нагадуванням про те, що медичні дані належать до найбільш чутливої інформації, що існує. Медичні записи поєднують особисті ідентифікатори, фінансові відомості та інтимну історію здоров'я в одному файлі, роблячи їх надзвичайно цінними для злочинців і надзвичайно руйнівними в разі розкриття.

Якщо ви постраждали від цього витоку, дійте швидко. Заморозьте свій кредит, стежте за рахунками та будьте пильні щодо фішингу. Якщо ви працюєте у сфері охорони здоров'я, сприйміть це як привід переглянути власні звички безпеки, зокрема те, як і де ви отримуєте доступ до систем роботи з пацієнтами. Інструменти для зниження особистого ризику існують; головне — послідовно використовувати їх до того, як інцидент змусить вас це зробити.