מתקפת הסייבר שפגעה בבית החולים מעייני הישועה ביום שלישי האחרון בוצעה ככל הנראה על ידי קבוצת ההאקרים הרוסית - "Ragnar Locker", שפעילה כל הפחות מסוף 2019 ועשה שימוש בשיטת הסחיטה הכפולה - הצפנת מידע וגניבה של מידע רגיש מהארגון הנסחט. בשנים האחרונות, הם תקפו תשתיות קריטיות רבות ברחבי העולם, למעלה מ-50 מהן בארצות הברית, דבר שהוביל את ה-FBI להוציא התרעה עליהם.
"חזרנו 40 שנה אחורה": בבי"ח מעייני הישועה מתמודדים עם מתקפת הסייבר
מתקפת הסייבר על מעייני הישועה: "התקבלה אינדיקציה ראשונית לדלף מידע"
ביום חמישי, כיומיים לאחר היוודע דבר המתקפה, טענו בבית החולים כי מרבית פעילותם חזרה לשגרה מלאה. עם זאת, גורמים בתחום הסייבר ששוחחו עם מעריב העריכו כי ייקח עוד זמן מה עד שבית החולים יחזור לשגרה המלאה, וציינו כי לבית החולים הלל יפה לקח מספר שבועות להתאושש לחלוטין מן האירוע. הם הדגישו כי בכל מקרה, לאחר אירועים מסוג זה נהוג להחליף את כלל המערכות, דבר שעשוי לקחת זמן.
בתוך כך, מומחים מחברת הסייבר "סיגניה" ששוחחו עם מעריב ציינו כי "ההאקרים שמאחורי Ragnar Locker, מתמקדים במתקפות כופרה של תשתיות קריטיות באמצעות כלים שהם מפתחים בעצמם. בבלוג שפרסמה החברה מאפריל האחרון, מספק צוות החוקרים של סיגניה כלים לארגונים לצורך זיהוי שיטות וכלי תקיפה של הקבוצה בטרם יוצפן המידע של הארגון בידי ההאקרים".
"הקבוצה כתבה קוד המאפשר לה 'לשלוף' את יומני האירועים והפעולות ממערכת הלוגים של הארגון ב-Windows, שבדרך כלל משמשים אנשי אבטחה בארגון כדי לדעת מה קרה. ההאקרים מנצלים את המידע אליו נחשפו על מנת לבנות רשימת מטרות בתוך הארגון, כדי להתפשט אליהן ולפרוס את תוכנת הכופר ברשת הארגון. בנוסף, הם משתמשים בכלי רוסי לניהול הגישה מרחוק שנקרא remote manipulator system כמנגנון פיקוד ובקרה. כלי גישה מרחוק אחר, AnyDesk, שימש את ההאקרים להוצאת נתונים מהארגון ואיפשר להאקרים להישאר "מתחת לרדאר" מבלי לעורר חשד כיוון שמדובר בכלי אדמיניסטרטיבי לגיטימי ושכיח", הוסיפו בחברה.