Здравната мрежа Kettering Health, която управлява 14 медицински центъра в щата Охайо и над 120 амбулаторни обекта, потвърди, че е станала жертва на крупна кибератака с участието на групата за рансъмуер Interlock. Инцидентът, осъществен през май 2025 г., доведе до сериозни смущения в работата на лечебните заведения и потенциално изтичане на чувствителни данни на пациенти и служители.

Какво се случи?

На 20 май 2025 г. Kettering Health разкри, че е станала обект на кибератака, която блокира достъпа до ключови медицински системи, включително електронната система за медицински досиета (EHR). Лекарите и медицинският персонал бяха принудени временно да преминат към работа с хартия, а някои планови процедури бяха отменени. Въпреки това, спешните отделения и клиниките останаха отворени.

Интервенция и възстановяване

По думите на ръководството, всички инфектирани системи вече са почистени, а използваните от хакерите инструменти и методи за достъп — премахнати. С помощта на външни експерти и вътрешен екип са предприети мерки за подсилване на киберсигурността, включително:

• Сегментация на мрежата

• Подобрено наблюдение

• Актуализиран контрол на достъпа

До началото на юни е възстановен достъпът до основната система EHR, като продължава работата по възстановяване на пациентския портал MyChart и телефонните комуникации.

Отговорност на групата Interlock

Хакерската групировка Interlock, активна от септември 2024 г., официално пое отговорност за атаката и публикува мостри от над 941 GB откраднати данни. Сред изнесената информация има:

• Данни на пациенти

• Документи от аптеки и кръвни банки

• Финансови отчети и ведомости за заплати

• Лични документи, включително сканирани паспорти

• Вътрешни файлове на охранителния отдел на Kettering Health

Interlock вече е позната с целенасочени атаки срещу здравни организации, включително последната им атака срещу DaVita – национален доставчик на диализни услуги, откъдето твърдят, че са изнесли 1.5 терабайта данни.

Групата се свързва също с т.нар. „ClickFix атаки“, при които се използват фалшиви IT инструменти за проникване в системите. Използва се и собствен зловреден софтуер за отдалечен достъп, наречен NodeSnake, забелязан в атаки срещу университети във Великобритания.

Последици и поуки

Този инцидент отново подчертава нарастващата заплаха от целенасочени атаки в здравния сектор, при които киберпрестъпниците не просто криптират данни с иск за откуп, а изнасят чувствителна информация с цел изнудване и публичен натиск. За организации като Kettering Health е от критично значение да продължат инвестициите в киберсигурност, обучение на персонала и непрекъснат мониторинг на мрежите.