Επιτελική Σύνοψη — Στατιστικά Εβδομάδας
6 ΣΥΜΒΑΝΤΑ |
4 RANSOMWARE |
5+ THREAT ACTORS |
$1,165M OCR ΠΡΟΣΤΙΜΑ |
Περίοδος αναφοράς: 28 Απριλίου – 4 Μαΐου 2026 | Φορέας: ΓΝΑ Κοργιαλένειο-Μπενάκειο
Επιτελική Σύνοψη
Η εβδομάδα 28 Απριλίου – 4 Μαΐου 2026 σημαδεύτηκε από την επίσημη επιβεβαίωση της Medtronic plc — ενός από τους κορυφαίους κατασκευαστές ιατροτεχνολογικών συσκευών παγκοσμίως — ότι έπεσε θύμα της εκβιαστικής ομάδας ShinyHunters, μέλους της κοινοπραξίας Scattered LAPSUS$ Hunters (SLSH). Η ομάδα διεκδικεί κλοπή 9 εκατομμυρίων εγγραφών PII. Παράλληλα, η HHS Office for Civil Rights ανακοίνωσε τέσσερις διευθετήσεις HIPAA Security Rule ύψους $1,165 εκατ. που σχετίζονται με ιστορικά ransomware συμβάντα, σηματοδοτώντας την επιθετική επιβολή του Risk Analysis Initiative. Το Q1 2026 healthcare ransomware roundup της Comparitech (29/4/2026) επιβεβαιώνει 201 επιθέσεις στον τομέα υγείας με την Qilin να παραμένει η πιο ενεργή ομάδα ενάντια σε healthcare παρόχους.
| TLP:AMBER | Διανέμεται μόνο εντός εξουσιοδοτημένων φορέων. Δεν δημοσιεύεται. Μην προωθείτε εκτός της ομάδας έργου MSc Κυβερνοασφάλεια — ΠΑΔΑ. |
Κρίσιμα Συμβάντα της Εβδομάδας
1. Medtronic plc × ShinyHunters (SLSH)
ShinyHunters / Scattered LAPSUS$ Hunters (SLSH) | 17–24 Απριλίου 2026 Θύμα: Medtronic plc — παγκόσμιος κατασκευαστής ιατροτεχνολογικών συσκευών (cardiac, diabetes, neuromodulation, surgical) Χώρα: ΗΠΑ / Ιρλανδία (HQ Δουβλίνο/Μινεάπολη), 150+ χώρες παρουσία | Τύπος: Cyber-extortion / Data Theft (χωρίς δημοσιευμένη κρυπτογράφηση) |
⚠ Λύτρα (Ransom): ΝΑΙ — αδιευκρίνιστο ποσό. Listed στο leak site 17/4/2026, deadline 21/4/2026 ⚠ Καταβολή: Αδιαφάνεια — ισχυρή ένδειξη πιθανής καταβολής (αφαίρεση από leak site λίγες ημέρες μετά την επιβεβαίωση). Η εταιρεία αρνείται σχολιασμό. |
Forensic: TTPs SLSH: vishing προσωπικού IT, credential harvesting μέσω victim-branded domains (πρότυπο <co>sso.com — NICENIC), MFA enrollment του own device, PowerShell exfiltration από SharePoint/OneDrive, OAuth credential theft από GitHub/DevOps personnel, χρήση S3 Browser/WinSCP για bucket reconnaissance. Deadlines 72h, DDoS pressure, SMS extortion προς προσωπικό. MITRE: T1566.004, T1078.004, T1059.001, T1530, T1567.002. Επίπτωση: Διεκδίκηση 9.000.000+ εγγραφών PII + terabytes εσωτερικών εταιρικών δεδομένων. Η Medtronic δηλώνει ότι τα δίκτυα προϊόντων, manufacturing/distribution, οικονομικά συστήματα και νοσοκομειακών πελατών είναι διαχωρισμένα — δεν επιβεβαιώνει κίνδυνο σε ασφάλεια ασθενών. 6+ class action αγωγές σε ομοσπονδιακά δικαστήρια ΗΠΑ έχουν ήδη κατατεθεί. Πηγές: SecurityWeek | Infosecurity Magazine | TechRadar | SecurityAffairs | The Register 27/4/2026 | HIPAA Journal |
2. OCR HIPAA Settlements — $1,165,000
OCR HIPAA Settlements ($1,165,000) | 23 Απριλίου 2026 Θύμα: 4 regulated entities (Assured Imaging $375k, Consociate Health $225k + 2 ακόμη) Χώρα: ΗΠΑ | Τύπος: Regulatory Enforcement (αναδρομική επιβολή σε ιστορικά ransomware συμβάντα) |
⚠ Λύτρα (Ransom): — (πρόκειται για πρόστιμα HIPAA, όχι λύτρα). Συνολικά πρόστιμα: $1,165,000. ⚠ Καταβολή: Καταβληθέντα — ως μέρος συμφωνίας διευθέτησης με OCR. |
Forensic: Assured Imaging: ransomware Μάιος 2020, ePHI 244.813 ατόμων. Consociate Health: επιτυχημένο phishing Ιούλιος 2020 → πρόσβαση σε server με ePHI 136.539 ατόμων. Εύρημα OCR: παράλειψη accurate & thorough risk analysis (45 CFR 164.308(a)(1)(ii)(A)), εκπρόθεσμη ειδοποίηση θιγέντων (HIPAA Breach Notification Rule), παράνομη γνωστοποίηση PHI. Επίπτωση: Συνολικά 427.000+ θιγέντες (αναδρομικά). 19η ολοκληρωμένη OCR ransomware έρευνα συνολικά, 13η από το Risk Analysis Initiative. Σαφές μήνυμα προς τον τομέα: η εκπρόθεσμη ειδοποίηση και η ελλιπής risk analysis αποτελούν πλέον τους κύριους μοχλούς επιβολής. Πηγές: HHS Press Release 23/4/2026 | HIPAA Journal | Paubox | GovInfoSecurity | Nixon Peabody analysis |
3. DermCare Management — Multi-state Supply-Chain
Άγνωστος (DermCare Management — supply-chain παραβίαση) | Φεβρ. 2025 → Texas AG filing 10/4/2026 Θύμα: DermCare Management (διαχείριση 70+ δερματολογικών κλινικών: Skin & Beauty Center, Berman Skin Institute, Jacksonville Beach Dermatology, κ.ά.) Χώρα: ΗΠΑ — California, Florida, Texas, Virginia (multi-state) | Τύπος: Network Intrusion / Data Theft (μη διεκδικημένο) |
⚠ Λύτρα (Ransom): Αδιαφάνεια — δεν υπάρχουν δημόσια στοιχεία αιτήματος. ⚠ Καταβολή: Αδιαφάνεια. |
Forensic: Πρόσβαση 14–26 Φεβρουαρίου 2025. Καθυστέρηση disclosure >13 μήνες — σοβαρή ασυμβατότητα με state breach notification statutes (30–90 ημέρες) και HIPAA 60-day rule. Πιθανή έκβαση: επιπλέον OCR enforcement δράσεις τύπου Cadia Healthcare. Επίπτωση: Texas AG επιβεβαιώνει 9.724 κάτοικους TX· εθνική εμβέλεια αναμένεται «ουσιαστικά μεγαλύτερη». Δεδομένα: SSNs, financial info, ιατρικά αρχεία, government IDs. Ισχυρή ένδειξη supply-chain μεγέθυνσης κινδύνου σε δερματολογικά δίκτυα. Πηγές: HIPAA Journal — DermCare/Option Care/Aetna | Cory Watson | Security Boulevard 14/4/2026 | GlobeNewswire — Edelson Lechtzin |
4. Signature Healthcare / Brockton Hospital × Anubis (συνεχιζόμενο)
Anubis Ransomware-as-a-Service (συνεχιζόμενο) | Συμβάν 6/4/2026 — εξέλιξη εβδομάδας 28/4–4/5/2026 Θύμα: Signature Healthcare / Brockton Hospital — 216-bed νοσοκομείο Χώρα: ΗΠΑ (Massachusetts) | Τύπος: Ransomware / Data Extortion (διπλή εκβίαση) |
⚠ Λύτρα (Ransom): ΝΑΙ — αδιευκρίνιστο ποσό· deadline 7 ημερών δόθηκε από Anubis. Αρχική διεκδίκηση 9/4/2026. ⚠ Καταβολή: Αδιαφάνεια — πιθανή έμμεση καταβολή / διαπραγμάτευση (αφαίρεση από leak site χωρίς δημοσίευση δεδομένων). |
Forensic: Anubis RaaS — phishing initial access σε healthcare staff, Cobalt Strike beacons, lateral movement μέσω SMB. Νέα ομάδα (πρώτη εμφάνιση Q4 2025), επιθετικό μοντέλο ταχέων deadlines. Επίπτωση: 2 TB διεκδικημένα δεδομένα. Αρχική φάση: εκτροπή ασθενοφόρων, ακύρωση χημειοθεραπειών στο Greene Cancer Center. Εξέλιξη εβδομάδας 28/4–4/5/2026: οι «δύο εβδομάδες downtime procedures» συμπληρώθηκαν, μερική επιστροφή σε EHR (πηγή: Techy Health Weekly 3/5/2026). Πηγές: HIPAA Journal | DataBreaches.net | Techy Health Weekly 3/5/2026 | GovInfoSecurity |
5. Itron Inc. — Critical Infrastructure (παρακολούθηση)
Άγνωστος (Critical Infrastructure) | Ανίχνευση 13/4/2026 — SEC 8-K filing 27/4/2026 Θύμα: Itron Inc. — vendor smart meters/utilities για νοσοκομειακές υποδομές ΗΠΑ Χώρα: ΗΠΑ (8.000+ πελάτες σε 100 χώρες) | Τύπος: Network Intrusion (μη διεκδικημένο) |
⚠ Λύτρα (Ransom): Αδιαφάνεια — δεν δημοσιοποιήθηκε αίτημα. ⚠ Καταβολή: Αδιαφάνεια. |
Forensic: Δεν υπάρχουν δημόσιοι IOCs ή tooling. Itron δηλώνει «δεν παρατηρήθηκε επίδραση στα customer-hosted συστήματα» και «καμία επιβεβαίωση κλοπής δεδομένων». Επίπτωση: Παρόλο που η Itron δεν είναι health provider, αποτελεί κρίσιμο vendor για facility utilities (ρεύμα, νερό, climate control) σε νοσοκομεία ΗΠΑ. Δείκτης διεύρυνσης attack surface του τομέα υγείας πέρα από τους κλασικούς healthcare providers. Πηγές: TechCrunch 27/4/2026 | SecurityWeek | The Register 27/4/2026 |
Ενεργές Ομάδες Απειλών (Threat Actors)
ShinyHunters / Scattered LAPSUS$ Hunters (SLSH) Καταγωγή: Άγνωστη — cybercrime collective, ιστορικά αγγλόφωνοι actors. Από Αύγ. 2025 σε κοινοπραξία με LAPSUS$ και Scattered Spider. Πρόσφατη δραστηριότητα: 2026: Telus (Μάρ., 700TB), Vimeo/Anodot (Απρ.), Medtronic (17/4). 100+ οργανισμοί υπό ενεργή στόχευση τον τελευταίο μήνα (Mandiant). Καμία nation-state σύνδεση επιβεβαιωμένη. TTPs: Vishing IT staff, credential harvesting domains (NICENIC), MFA enrollment του own device, OAuth/GitHub credential theft, PowerShell exfiltration SharePoint/OneDrive, AWS S3 reconnaissance, BTC payment, SMS/DDoS pressure. |
Qilin (Agenda) — Top healthcare predator Q1 2026 Καταγωγή: Ρωσόφωνη ομάδα RaaS, ενεργή από Ιούλιο 2022 (αρχικό όνομα "Agenda"). Πρόσφατη δραστηριότητα: ~700 επιθέσεις παγκοσμίως 2025· Q1 2026 = 23 healthcare παρόχους (#1). Σημαντικά: Covenant Health (478.188 ασθενείς), Dillon Family Medicine 25/4/2026, Armstrong George Cohen Will Ophthalmology. TTPs: Cross-platform ransomware (Linux/ESXi). Initial access μέσω VPN credentials, exposed RDP, FortiGate exploitation, phishing. ChaCha20+RSA encryption. SystemBC, Cobalt Strike. BTC/Monero. MITRE: T1190, T1133, T1486, T1567. |
Anubis Ransomware-as-a-Service Καταγωγή: Άγνωστη (πιθανή ρωσόφωνη βάση βάσει language artifacts). Πρώτη εμφάνιση Q4 2025. Πρόσφατη δραστηριότητα: Q1-Q2 2026 — Signature Healthcare/Brockton Hospital (6/4/2026, 2TB). Επιθετικό μοντέλο ταχέων deadlines. TTPs: Phishing σε healthcare staff, Cobalt Strike beacons, lateral movement μέσω SMB, double extortion με 7-day deadlines. |
NightSpire — αναδυόμενη απειλή (Barracuda 1/5/2026) Καταγωγή: Άγνωστη· καμία nation-state σύνδεση. Πρώτη εμφάνιση Φεβρ. 2025. Πρόσφατη δραστηριότητα: 259 διεκδικημένα θύματα παγκοσμίως ως 1/5/2026. Q1 2026: 8 healthcare businesses (κορυφή με INC). 2/5/2026: διεκδίκηση εναντίον plastic surgery facility. TTPs: Ransomware payload σε Go (.nspire extension). Τραχείς deadlines. Ενεργό data leak site. Weaponizing time/uncertainty/reputational pressure. Συμπεριφορά "wannabe warlord" — εμπνεύσεις από LockBit/REvil. |
Crypto24 Καταγωγή: Άγνωστη· πιθανότατα ανατολική Ευρώπη/Ασία. Πρώτη εμφάνιση Νοέμ. 2024 (επίσημες αναφορές Ιούν. 2025 — Trend Micro). Πρόσφατη δραστηριότητα: Healthcare θύματα: Artemis Healthcare (Μάι. 2025), Qatar Biomedical Research Institute (QBRI) — διεκδίκηση 17/4/2026. TTPs: Συνδυασμός νόμιμων εργαλείων (PsExec, AnyDesk, sysadmin scripts) με custom EDR-killer malware και keylogger. Initial access RDP brute force ή leaked credentials. Affiliate δομή RaaS. |
Στατιστικά Λύτρων (Ransom Statistics)
| Συμβάν | Ομάδα | Αίτημα Λύτρων | Πληρωμή | Πηγή |
|---|---|---|---|---|
| Medtronic plc | ShinyHunters | Αδιευκρίνιστο | Πιθανή πληρωμή (αφαίρεση από leak site) | SecurityWeek |
| Signature Healthcare / Brockton | Anubis RaaS | Αδιευκρίνιστο, 7-day deadline | Αδιαφάνεια — αφαίρεση χωρίς διαρροή | HIPAA Journal |
| OCR HIPAA Settlements (4) | Ιστορικά: ποικίλες | — | $1.165.000 πρόστιμα | HHS |
| DermCare Management | Άγνωστος | — | — | Texas AG |
| Itron | Άγνωστος | — | — | SEC 8-K |
| Q1 2026 Healthcare avg ransom (Sophos) | — | Mid: $1.5M (Sophos State of Ransomware) | Avg paid: ~32% θυμάτων | Sophos 2025 |
Πηγές & Disclaimer
Πηγές & Επαληθεύσεις: Όλες οι πηγές είναι δημόσια διαθέσιμες και έχουν διασταυρωθεί με τουλάχιστον δύο ανεξάρτητες πηγές. Κύριες πηγές: SecurityWeek, Infosecurity Magazine, TechRadar, SecurityAffairs, The Register, HIPAA Journal, Paubox, GovInfoSecurity, Nixon Peabody, BleepingComputer, TechCrunch, Comparitech, Industrial Cyber, Barracuda Networks, Google Cloud Threat Intelligence, HHS OCR, SEC EDGAR. Λεπτομερείς URLs στο .md report της εβδομάδας.
Disclaimer: Παρόν δελτίο συντίθεται από ανοιχτές πηγές πληροφόρησης (OSINT). Τα στοιχεία ποσοτικοποίησης (αριθμοί θιγέντων, terabytes, ποσά λύτρων) αντικατοπτρίζουν διεκδικήσεις των απειλών ή προσωρινές εκτιμήσεις φορέων· δύνανται να αναθεωρηθούν. Για επιχειρησιακή χρήση, διασταυρώστε με HHS OCR Breach Portal και SEC 8-K. Επόμενη έκδοση: εβδομάδα 5–11 Μαΐου 2026.