Brittiskt sjukhusnätverk skjuter upp procedurer efter en cyberattack

Den här veckan drabbades Wirral University Teaching Hospital (WUTH), en del av NHS Foundation Trust, av en betydande cyberattack som störde tjänsterna på dess anläggningar. Intrånget, som avslöjades på måndagen, ledde till att IT-system stängdes av, vilket tvingade sjukhuset att arbeta manuellt och orsaka förseningar i bokningar och procedurer.

WUTH hanterar Arrowe Park Hospital, Clatterbridge Hospital och Wirral Women and Children's Hospital och erbjuder kritiska tjänster som akutvård, kirurgi och cancerbehandling. Avbrottet har lett till längre väntetider och begränsad tillgänglighet för diagnostiska tjänster, inklusive röntgen och behandlingar.

En talesperson för WUTH uppgav: "Misstänkt aktivitet upptäcktes och systemen isolerades som en försiktighetsåtgärd. Vi har gått över till manuella processer för att säkerställa kontinuitet i tjänsterna, men förseningar är oundvikliga."

Personalen har beskrivit konsekvenserna som allvarliga. "Utan digitala system görs allt manuellt, vilket gör arbetet extremt svårt," berättade en anställd för ECHO. Patienter informerades om att operationer och behandlingar för närvarande inte är tillgängliga, och det finns ingen tidsram för när de kan återupptas.

Sjukhuset har uppmanat allmänheten att endast använda akutvård för verkliga nödsituationer för att undvika överbelastning av tjänsterna.

Inga ransomware-grupper har tagit på sig ansvaret, och attackens natur är fortfarande okänd. Återhämtningsarbetet pågår, men skadan på sjukhusets verksamhet är betydande.

Denna incident understryker det kritiska behovet av robusta cybersäkerhetsförsvar inom vården, eftersom organisationer förblir primära mål för cyberbrottslingar.

Operation Serengeti: Över 1 000 cyberbrottslingar arresterade i Afrika

Brottsbekämpande myndigheter i 19 afrikanska nationer, koordinerade av Interpol och Afripol, har arresterat 1 006 personer som en del av Operation Serengeti, riktad mot cyberbrottslingar involverade i ransomware, företags-e-postbedrägerier (BEC), digital utpressning och online-bedrägerier. Operationen, som genomfördes mellan den 2 september och den 31 oktober, desarmerade 134 089 skadliga infrastrukturer kopplade till globala finansiella förluster på nästan 193 miljoner dollar.

Bland de framgångsrika insatserna finns att Kenya slog ner på en kreditkortsbedrägeriring värd 8,6 miljoner dollar och att Senegal upplöste ett Ponzi-schema värt 6 miljoner dollar. Nigeria arresterade en individ som låg bakom kryptovalutabedrägerier värda totalt 300 000 dollar, medan Kamerun stoppade ett marknadsföringsbedrägeri som smugglade offer från sju länder. Angola upplöste ett bedrägeri med virtuella kasinon, arresterade 150 personer och beslagtog hundratals enheter.

Operation Serengeti återhämtade 44 miljoner dollar och understryker den avgörande rollen av internationellt samarbete för att bekämpa cyberbrott, med operativa partners som Fortinet, Kaspersky och Group-IB som bidrog med viktig underrättelseinformation.

Ransomware-attack mot Blue Yonder stör leveranskedjor

Det amerikanska SaaS-företaget Blue Yonder, som erbjuder tjänster för hantering av leveranskedjor, har rapporterat en ransomware-attack som orsakat betydande driftstörningar och lämnat kunder med operationella utmaningar.

Incidenten, som rapporterades den 21 november, påverkade Blue Yonders miljö för hanterade tjänster. Den 23 november meddelade företaget att framsteg hade gjorts i återhämtningsarbetet tillsammans med externa cybersäkerhetsföretag, men det gick inte att förutse när systemen skulle vara fullt operativa igen.

Effekten har varit omfattande. Starbucks rapporterade problem med löne- och personalschema-system men fortsätter att vara i drift. I Storbritannien har stora återförsäljare som Morrisons och Sainsbury’s återgått till backup-processer, där Morrisons erkände störningar i leveranskedjan som påverkar butikens leveranser.

Blue Yonder uppgav att man implementerat "defensiva och forensiska protokoll" men gav få ytterligare detaljer.

Incidenten belyser leveranskedjornas sårbarhet för ransomware-attacker och påminner om tidigare kriser som attacken mot Colonial Pipeline. Lyckligtvis verkar denna störning osannolik att påverka högsäsongen för detaljhandeln i USA eller Storbritannien.

Brittiska företag förlorar 44 miljarder pund på cyberattacker under fem år

Cyberattacker har kostat brittiska företag cirka 44 miljarder pund (55,08 miljarder dollar) i förlorade intäkter under de senaste fem åren, med över hälften (52%) av företagen inom privat sektor som rapporterar minst en incident, enligt försäkringsmäklaren Howden.

I genomsnitt står cyberattacker för 1,9% av ett företags intäkter, där större organisationer—de som genererar över 100 miljoner pund årligen—är de vanligaste målen. De vanligaste attackmetoderna var komprometterade e-postmeddelanden (20%) och datastöld (18%).

Oroväckande är att endast 61% av de tillfrågade företagen använder antivirusprogram och bara 55% har implementerat nätverksbrandväggar. Kostnadsbegränsningar och brist på intern IT-kompetens nämndes som hinder för starkare cybersäkerhetsförsvar.

”Cyberbrottslighet ökar, med illasinnade aktörer som utnyttjar sårbarheter i takt med att företag blir alltmer beroende av teknik,” säger Sarah Neild, chef för cybersäkerhet hos Howden i Storbritannien.

Resultaten bygger på en enkät i september med 905 IT-beslutsfattare inom brittisk privat sektor genomförd av YouGov.

Cyberbrottsgruppen RomCom utnyttjar två zero-day-sårbarheter i omfattande kampanj

Den ryska cyberbrottsgruppen RomCom har nyligen utnyttjat två zero-day-sårbarheter i samordnade attacker riktade mot Firefox- och Tor Browser-användare i Europa och Nordamerika.

Den första sårbarheten (CVE-2024-9680), ett use-after-free-fel i Firefox animationslinje, möjliggjorde kodexekvering inom webbläsarens sandbox. Mozilla åtgärdade detta den 9 oktober 2024. Den andra sårbarheten (CVE-2024-49039), en eskalering av privilegier i Windows Task Scheduler, gjorde det möjligt för angripare att köra kod utanför Firefox sandbox. Microsoft åtgärdade detta problem den 12 november.

RomCom kombinerade dessa sårbarheter för att uppnå fjärrkodsexekvering utan användarinteraktion. Offren som besökte angriparkontrollerade webbplatser komprometterades, vilket ledde till installation av RomComs bakdörrsprogramvara. Analysen avslöjade att kampanjen också riktade sig mot Tor Browser-användare via skadliga JavaScript-exploits.

ESET:s telemetri indikerar att attackerna var omfattande och riktade sig mot upp till 250 offer per land. RomCom fortsätter att rikta in sig på organisationer i Ukraina, Europa och Nordamerika inom sektorer som regering, försvar och energi, vilket visar på sofistikerade och utvecklande förmågor.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.