 |
 |
 |
 |
ΝΕΕΣ ΑΠΟΚΑΛΥΨΕΙΣ | AΙΤΗΜΑΤΑ ΛΥΤΡΩΝ | ΕΝΕΡΓΕΣ ΟΜΑΔΕΣ | ΧΩΡΕΣ
ΕΠΙΤΕΛΙΚΗ ΣΥΝΟΨΗ
Στη διάρκεια της εβδομάδας 21–27 Απριλίου 2026 καταγράφηκε σημαντική επιτάχυνση των δημοσιοποιήσεων (disclosures) ιστορικών συμβάντων στον τομέα υγείας των ΗΠΑ. Τρεις πάροχοι ανακοίνωσαν τη συνολική ζημιά τους: Cookeville Regional Medical Center (337.917 ασθενείς, Rhysida), North Texas Behavioral Health Authority (285.000+ άτομα) και Southern Illinois Dermatology (160.000 άτομα, Insomnia). Παράλληλα, εξακολούθησαν τα συμβάντα της προηγούμενης εβδομάδας: η εκβίαση του Anubis κατά της Signature Healthcare/Brockton Hospital (Μασαχουσέτη) και η ολλανδική κρίση του ChipSoft, για την οποία επιβεβαιώθηκε επίσημα η εξαγωγή (exfiltration) ιατρικών δεδομένων ασθενών. Συνολικά, οι HHS OCR αναφορές της εβδομάδας προσέθεσαν περίπου 600.000 νέα θύματα σε δύο πολιτείες (Illinois & Texas).
Το γενικότερο μοτίβο επιβεβαιώνει το ευρήματα του ENISA Threat Landscape 2024 και των IBM Cost of a Data Breach Report 2025: ο τομέας υγείας παραμένει ο πιο ακριβός κλάδος (μέσο κόστος παραβίασης >$10 εκατ.) και ο πιο αργός σε ανίχνευση και ειδοποίηση. Τέσσερις από τις πέντε νέες αποκαλύψεις αυτής της εβδομάδας αφορούν συμβάντα του 2025, με μέσο χρόνο ειδοποίησης 9–14 μήνες — ασύμβατο με το 60ήμερο όριο HIPAA Breach Notification Rule και τις 72-ωρες του GDPR Άρθρο 33.
ΑΝΑΛΥΣΗ ΠΕΡΙΣΤΑΤΙΚΩΝ ΕΒΔΟΜΑΔΑΣ
Παρακάτω παρουσιάζονται τα έξι σημαντικότερα περιστατικά της περιόδου αναφοράς, με χρωματική κωδικοποίηση κατά κρισιμότητα: ΚΟΚΚΙΝΟ — υψηλή κρισιμότητα/μεγάλος αριθμός θυμάτων· ΜΠΛΕ ΣΚΟΥΡΟ — σημαντικά disclosures· ΓΑΛΑΖΙΟ — συνεχιζόμενα συμβάντα.
1. Cookeville Regional Medical Center — Rhysida (RaaS) Threat Actor: Rhysida (RaaS, Ρωσία-linked, ενεργή από 05/2023) Ημερομηνία: Πρόσβαση 11–14/07/2025 · διεκδίκηση 02/08/2025 · ειδοποιήσεις 14/04/2026 Θύμα: Cookeville Regional Medical Center — νοσοκομείο 309 κλινών για 14 κομητείες Χώρα: ΗΠΑ (Tennessee) Τύπος Επίθεσης: Ransomware / Data Theft (διπλή εκβίαση) Λύτρα (Ransom): ΝΑΙ — αίτημα 10 BTC (~$1,15 εκατ.). Πληρωμή: Αδιαφάνεια — δεδομένα δημοσιεύτηκαν στο dark web leak site της Rhysida. Forensic Details: Initial access: phishing & exposed RDP/VPN. C2: SystemBC, PortStarter. Encryption: LibTomCrypt + ChaCha20 + RSA-4096. Exfiltration: MEGA. Dwell time ~3 ημέρες πριν εκδήλωση. EHR εκτός λειτουργίας 9 ημέρες. Επίπτωση: 337.917 ασθενείς — όνομα, διεύθυνση, DOB, SSN, αρ. αδείας οδήγησης, οικονομικά, αρ. ιατρικού φακέλου, θεραπεία, ασφάλιση. 8η μεγαλύτερη ransomware παραβίαση υγείας ΗΠΑ 2025. Πηγές: Security Affairs | Infosecurity Magazine | HipaaJournal |
2. North Texas Behavioral Health Authority — Disclosure 285K Threat Actor: Άγνωστος (μη διεκδικημένο) Ημερομηνία: Εισβολή 13–15/10/2025 · ειδοποιήσεις 06/03/2026 · OCR αποκάλυψη 24/04/2026 Θύμα: North Texas Behavioral Health Authority — δημόσιος πάροχος ψυχικής υγείας/απεξάρτησης Χώρα: ΗΠΑ (Texas) Τύπος Επίθεσης: Network Intrusion / Data Breach Λύτρα (Ransom): Αδιαφάνεια — δεν υπάρχουν δημόσια στοιχεία. Δεν παρατηρήθηκε διεκδίκηση από ομάδα ransomware. Forensic Details: Dwell time ~2 ημέρες πριν εντοπισμό. >90 ημέρες review process. Πιθανός φορέας: εκμετάλλευση exposed VPN/edge device — σταθερό μοτίβο για παρόχους ψυχικής υγείας. Επίπτωση: 285.000+ άτομα. Ονόματα, SSN, αρ. αδείας οδήγησης, ιατρικά, ασφάλιση, DOB. Ευαίσθητος πληθυσμός (mental health/SUD) — υψηλό ρίσκο στιγματισμού. 6η μεγαλύτερη OCR breach 2026. Πηγές: HipaaJournal | Cybernews | SecurityWeek |
3. Southern Illinois Dermatology — Insomnia (Pure Extortion) Threat Actor: Insomnia (data-theft extortion, χωρίς encryption, ενεργή 2025–) Ημερομηνία: Εντοπισμός 11/2025 · διεκδίκηση 07/02/2026 · disclosure size 22–24/04/2026 Θύμα: Southern Illinois Dermatology, Salem Illinois Χώρα: ΗΠΑ (Illinois) Τύπος Επίθεσης: Data Theft / Pure Extortion (no encryption) Λύτρα (Ransom): ΝΑΙ — ποσό μη δημοσιοποιημένο. Δεν επιβεβαιώθηκε πληρωμή — η Insomnia έχει ήδη δημοσιεύσει sample αρχεία. Forensic Details: Insomnia: μοντέλο pure-extortion. Πιθανό αρχικό vector: InfoStealer credentials (RedLine, Lumma) ή SQL injection σε exposed portals / VPN brute force. Exfiltration μέσω rclone σε MEGA/Filebin. Επίπτωση: 160.000 άτομα. Πλήρη ονόματα, διευθύνσεις, DOB, SSN, τηλέφωνα, email, αρ. ιατρικού φακέλου. Πηγές: HipaaJournal | Comparitech | DeXpose Profile |
4. Saint Anthony Hospital (Chicago) — Disclosure 146K Threat Actor: Άγνωστος Ημερομηνία: Συμβάν 02/2025 · OCR καταχώρηση 22–24/04/2026 (~14 μήνες καθυστέρηση) Θύμα: Saint Anthony Hospital — κοινοτικό νοσοκομείο Λοτίνο πληθυσμού Χώρα: ΗΠΑ (Illinois) Τύπος Επίθεσης: Network Intrusion / Data Breach Λύτρα (Ransom): Αδιαφάνεια. Forensic Details: Κανένας δημόσιος δείκτης συμβιβασμού (IOC). Καθυστέρηση disclosure 14 μηνών — ενδεικτική συστηματικού προβλήματος συμμόρφωσης HIPAA Breach Notification Rule (60-day rule). Επίπτωση: ~146.000 άτομα — προσωπικά και κλινικά δεδομένα. Πηγές: SecurityWeek | Cybernews |
5. Signature Healthcare / Brockton Hospital — Anubis (ΣΥΝΕΧΙΖΟΜΕΝΟ) Threat Actor: Anubis Ransomware-as-a-Service Ημερομηνία: Αρχική επίθεση 06/04/2026 · countdown clock πλησιάζει λήξη την εβδομάδα αναφοράς Θύμα: Signature Healthcare / Brockton Hospital Χώρα: ΗΠΑ (Massachusetts) Τύπος Επίθεσης: Ransomware / Data Extortion (διπλή εκβίαση) Λύτρα (Ransom): ΝΑΙ — ποσό αδιευκρίνιστο, deadline 7-ημερών από την Anubis. Πληρωμή: Αδιαφάνεια — η ομάδα δεν έχει αφαιρέσει το θύμα από το leak site. Forensic Details: Initial access μέσω phishing σε healthcare staff. Cobalt Strike beacons, lateral movement μέσω SMB. Encryption ChaCha20. 2 TB κλεμμένων δεδομένων ασθενών. Επίπτωση: Εκτροπή ασθενοφόρων, ακύρωση χημειοθεραπειών (Greene Cancer Center), EHR εκτός λειτουργίας. Συνέχιση downtime procedures για ~2 εβδομάδες ακόμη. Παροχή υπηρεσιών μόνο inpatient και χειρουργεία. Πηγές: GovInfoSecurity | HipaaJournal | DataBreaches.Net |
6. ChipSoft B.V. — Supply-Chain (ΣΥΝΕΧΙΖΟΜΕΝΟ, ΟΛΛΑΝΔΙΑ) Threat Actor: Άγνωστος — δεν έχει διεκδικηθεί δημόσια Ημερομηνία: Αρχική ανίχνευση 07/04/2026 · επιβεβαίωση exfiltration 15/04/2026 Θύμα: ChipSoft B.V. — πάροχος EHR (HiX 365), εξυπηρετεί ~80% των ολλανδικών νοσοκομείων Χώρα: Ολλανδία Τύπος Επίθεσης: Ransomware / Supply-Chain Attack Λύτρα (Ransom): Αδιαφάνεια — δεν υπάρχουν δημόσια στοιχεία. Η μη δημοσιοποίηση από επιτιθέμενο υποδηλώνει ενεργές διαπραγματεύσεις ή state-aligned φορέα. Forensic Details: Z-CERT συντονίζει την έρευνα. ChipSoft αποσύνδεσε Zorgportaal, HiX Mobile, Zorgplatform· εκδίδει νέα διαπιστευτήρια. 66 αναφορές παραβίασης δεδομένων στην ολλανδική Αρχή Προστασίας Δεδομένων. Επίπτωση: Επίσημη επιβεβαίωση 15/04/2026: ιατρικά δεδομένα ασθενών έχουν κλαπεί (αναθεώρηση προηγούμενης δήλωσης). 11 νοσοκομεία αποσύνδεσαν συστήματα. Δεν εμφανίστηκαν ακόμη στο dark web. Πηγές: DutchNews | NL Times | The Record |
ΠΡΟΦΙΛ ΕΝΕΡΓΩΝ ΟΜΑΔΩΝ ΑΠΕΙΛΩΝ
Rhysida (RaaS) Προέλευση / Status: Ρωσία-linked · ενεργή από Μάιο 2023 Στόχευση: Νοσοκομεία, εκπαιδευτικά ιδρύματα, δημόσιος τομέας ΗΠΑ/Ευρώπης TTPs (MITRE ATT&CK): TA0001 Initial Access: T1566 phishing & T1190 exploit public-facing apps (Citrix NetScaler, Cisco AnyConnect). TA0011 C2: SystemBC, PortStarter. TA0010 Exfiltration: MEGA / RClone. Encryption: ChaCha20 + RSA-4096. Πρόσφατη Δραστηριότητα: Cookeville Regional Medical Center — αποκάλυψη 337.917 ασθενών (εβδομάδα αναφοράς). Ενεργή σε ευρωπαϊκά νοσοκομεία/utilities Q1 2026. |
Anubis (RaaS) Προέλευση / Status: Νεόκοπη ομάδα 2025–2026 Στόχευση: Healthcare ΗΠΑ — προτίμηση σε community/regional νοσοκομεία (μειωμένο security maturity) TTPs (MITRE ATT&CK): Διπλή εκβίαση. Phishing → AnyDesk/RMM abuse → Cobalt Strike → SMB lateral movement → ChaCha20 encryption. Πρόσφατη Δραστηριότητα: Συνεχιζόμενη εκβίαση Signature Healthcare (countdown 7-ημερών στο leak site). |
Insomnia (Data-Theft Extortion) Προέλευση / Status: Pure-extortion, χωρίς encryption, ενεργή από 2025 Στόχευση: Healthcare, dental, mental health, retail. Tor leak site "Insomnia Inc.". TTPs (MITRE ATT&CK): Pure data-theft μοντέλο. Initial access: InfoStealer credentials (RedLine, Lumma), SQL injection σε exposed portals, VPN brute force. Exfiltration μέσω rclone. Πρόσφατη Δραστηριότητα: Δημοσιοποίηση Southern Illinois Dermatology (160.000 ασθενείς). Σε άνοδο H1 2026. |
Lynx (RaaS) Προέλευση / Status: Εμφανίστηκε 07/2024 ως διάδοχος INC Ransom Στόχευση: Critical infrastructure, manufacturing — αυτοχαρακτηρίζεται «ηθική», αλλά παραβιάζει το claim TTPs (MITRE ATT&CK): Διαπιστευτήρια από access brokers, Mimikatz, BloodHound για AD recon, διπλή εκβίαση. Encryption σε C++/Rust (cross-platform). Πρόσφατη Δραστηριότητα: ACN Healthcare (Γερμανία) — διεκδίκηση 8/4/2026. Σταθερή ροή θυμάτων Q2 2026. |
Qilin (πρώην Agenda) Προέλευση / Status: Ρωσία-affiliated · ενεργή από 07/2022 Στόχευση: Επανεμφανίζεται σε υγειονομικές οντότητες. Καταγγέλθηκε νωρίτερα για Covenant Health και Aroostook Mental Health. TTPs (MITRE ATT&CK): Affiliate model με υψηλή ποικιλία TTPs. Χρήση WMIExec, PsExec. Encryption σε Rust. State-aligned tolerancing. Πρόσφατη Δραστηριότητα: Συνεχιζόμενη ενημέρωση Covenant Health (478.188 ασθενείς — αναθεωρημένος αριθμός). |
ΣΤΑΤΙΣΤΙΚΑ ΛΥΤΡΩΝ — ΙΣΤΟΡΙΚΟΙ ΜΕΣΟΙ ΟΡΟΙ ΚΑΙ ΤΡΕΧΟΥΣΑ ΕΒΔΟΜΑΔΑ
Βάσει IBM Cost of a Data Breach Report 2025, Sophos State of Ransomware in Healthcare 2024, και Verizon DBIR 2025.
| Μετρική | Ιστορικός Μ.Ο. Healthcare | Τρέχουσα Εβδομάδα 21–27/04/26 |
|---|---|---|
| Μέσο αίτημα λύτρων | $1,3 εκατ. (Sophos 2024) | $1,15 εκατ. (Rhysida/CRMC) |
| Ποσοστό πληρωμής λύτρων | 42% (Sophos 2024) | 0/3 επιβεβαιωμένες πληρωμές |
| Μέσο κόστος παραβίασης | $10,93 εκατ. (IBM 2025) | Υπό υπολογισμό |
| Μέσος χρόνος ανάκαμψης | 22 ημέρες (Sophos 2024) | >14 ημέρες (Brockton) |
| Μέσος χρόνος ειδοποίησης | 60 ημέρες (HIPAA όριο) | 9–14 μήνες (4/5 περιπτώσεις) |
| % περιστατικών με exfiltration | 96% (Sophos 2024) | 100% (6/6 περιστατικά) |
ΑΠΟΠΟΙΗΣΗ ΕΥΘΥΝΩΝ & ΣΥΝΟΛΙΚΕΣ ΠΗΓΕΣ
Αποποίηση Ευθυνών
Το παρόν δελτίο συντάχθηκε αυτοματοποιημένα από δημόσια διαθέσιμες πηγές (open-source intelligence) στο πλαίσιο της εκπαιδευτικής διαδικασίας του ΠΜΣ Κυβερνοασφάλειας ΠΑΔΑ και της διπλωματικής εργασίας με τίτλο «Ανάλυση Επιφάνειας Επίθεσης και Ενοποιημένο Πλαίσιο Κανόνων Κυβερνοασφάλειας για Υποδομές Υγείας». Οι πληροφορίες δεν αντικατοπτρίζουν επίσημες θέσεις του ΓΝΑ «Κοργιαλένειο-Μπενάκειο», του ΠΑΔΑ ή της ΕΕ. Κάθε αναφορά ταυτότητας θύματος ή επιτιθέμενης ομάδας προέρχεται από διασταυρωμένες δημοσιογραφικές ή θεσμικές πηγές. Επίπεδο διαβάθμισης: TLP:AMBER — προοριζόμενο για αυστηρά εσωτερική χρήση.
Συνολικές Πηγές
• Security Affairs — Cookeville Regional Medical Center 337.917
• Infosecurity Magazine — Cookeville Hospital Discloses Rhysida Breach
• HipaaJournal — Cookeville Regional Medical Center Data Breach
• Cybernews — Three US healthcare orgs disclose data breaches
• HipaaJournal — Southern Illinois Dermatology / Heart South
MSc Κυβερνοασφάλεια — ΠΑΔΑ | Διπλωματική Εργασία | TLP:AMBER
Παραγωγή scheduled-tasks weekly-healthcare-cyber-threats — 27/04/2026 ΕΕΤ