Φορέας έρευνας: ΓΝΑ «Κοργιαλένειο-Μπενάκειο» Ερυθρός Σταυρός — ΠΜΣ Κυβερνοασφάλεια ΠΑΔΑ
Περίοδος αναφοράς: Τετάρτη 17/06/2026 – Τετάρτη 24/06/2026 | Επίπεδο εμπιστευτικότητας: TLP:AMBER
3 Επιβεβαιωμένα Περιστατικά |
4 Leak-site Διεκδικήσεις |
4 Ενεργές Ομάδες Απειλών |
2 Χώρες Θυμάτων |
Επιτελική Σύνοψη
Η εβδομάδα 17–24 Ιουνίου 2026 χαρακτηρίζεται από τη συνεχιζόμενη κυριαρχία του μοντέλου data-theft extortion (εκβιασμός με κλοπή δεδομένων χωρίς κρυπτογράφηση) έναντι του κλασικού ransomware. Κεντρικό συμβάν αποτελεί η δημοσιοποίηση (16–17/06/2026) της παραβίασης της iRhythm Holdings, εταιρείας συστημάτων καρδιακής παρακολούθησης, με κλοπή προστατευόμενων πληροφοριών υγείας (PHI) μέσω social engineering και πρόσβασης σε third-party-hosted εφαρμογές. Προηγήθηκε (11/06/2026) η παραβίαση της φαρμακευτικής Novo Nordisk, με εξαγωγή δεδομένων κλινικών δοκιμών, πνευματικής ιδιοκτησίας και μοντέλων τεχνητής νοημοσύνης (AI models).
Παράλληλα, η εκβιαστική ομάδα ShinyHunters ολοκλήρωσε τη δημοσίευση 234 GB δεδομένων της DentaQuest (2,6 εκατ. λογαριασμοί) μετά την αποτυχία διαπραγμάτευσης λύτρων. Οι ομάδες Qilin και LockBit 5.0 εξακολουθούν να διεκδικούν περιφερειακούς παρόχους υγείας. Η εβδομάδα επιβεβαιώνει τρεις δομικές τάσεις: (α) η αλυσίδα εφοδιασμού / third-party εφαρμογές ως κύρια οδός εισόδου, (β) η επικράτηση του vishing / social engineering ως initial access vector, και (γ) η αξιοποίηση infostealer logs και μη-εναλλασσόμενων credentials (unrotated API keys, session cookies) ως στρατηγικού πόρου.
Κυβερνοεπιθέσεις στον Τομέα Υγείας
1. iRhythm Holdings — Cyber-extortion / PHI Theft Threat Actor: Άγνωστος (καμία δημόσια διεκδίκηση) Ημερομηνία: Ανίχνευση 08/06/2026 · απαίτηση λύτρων 09/06/2026 · SEC 8-K 16–17/06/2026 Θύμα: iRhythm Holdings, Inc. — κατασκευαστής συσκευών καρδιακής παρακολούθησης (Zio), εισηγμένη Nasdaq Χώρα: ΗΠΑ Τύπος επίθεσης: Cyber-extortion / Data Theft (χωρίς δημοσιευμένη κρυπτογράφηση) Λύτρα (Ransom): ΝΑΙ — απαίτηση πληρωμής για αποτροπή δημοσίευσης. Ποσό: Αδιαφάνεια (μη δημοσιευμένο). Πληρωμή: άγνωστο. Forensic: Initial access μέσω social engineering attack. Παραβίαση third-party-hosted business applications → exfiltration PHI + proprietary data. Ενεργοποίηση cybersecurity response plan με εξωτερικούς ειδικούς· έρευνα scope σε εξέλιξη. Επίπτωση: Κλοπή PHI ασθενών + proprietary data. Δεν δημοσιοποιήθηκε αριθμός θιγέντων. Η εταιρεία δηλώνει ότι δεν επηρεάστηκαν clinical/medical device systems, manufacturing, financial reporting, ή patient care. Πηγές: Help Net Security · BleepingComputer · Security Affairs |
2. Novo Nordisk A/S — Data-theft Extortion / IP & Clinical Trial Theft Threat Actor: FulcrumSec / «Dragonfly» (+ TheUSERS007) Ημερομηνία: Επίσημη δημοσιοποίηση 11/06/2026 · συνεχιζόμενες διαρροές εντός εβδομάδας Θύμα: Novo Nordisk A/S — φαρμακευτικός κολοσσός, παραγωγός Ozempic/Wegovy, μεγαλύτερος παραγωγός ινσουλίνης Χώρα: Δανία Τύπος επίθεσης: Data-theft Extortion (χωρίς δημόσια ένδειξη κρυπτογράφησης) Λύτρα (Ransom): ΝΑΙ — Απαίτηση 25.000.000 USD (η εταιρεία αρνήθηκε). Πρόσθετη διεκδίκηση 50.000.000 USD από TheUSERS007. Πληρωμή: ΟΧΙ. Forensic: Initial access μέσω εκμετάλλευσης unrotated API keys & cloud misconfigurations. Έκθεση 211 employee + 580 customer credentials σε infostealer logs + 2.932 session cookies (διέρρεαν επί μήνες). Dwell time >2 μήνες, low-and-slow exfiltration από cloud/code infrastructure (HPC, Slurm, SSH). Επίπτωση: Εξαγωγή ψευδωνυμοποιημένων δεδομένων κλινικών δοκιμών (patient IDs, biomarkers, health data) + IP + AI models drug discovery (16 GB model checkpoints, source code, 53+ GB container images). Άμεσος κίνδυνος ασθενών εκτιμάται «χαμηλός». Πηγές: BleepingComputer · Novo Nordisk Statement · Scientific American |
3. DentaQuest — ShinyHunters Data Leak Threat Actor: ShinyHunters (Scattered LAPSUS$ Hunters) Ημερομηνία: Καταχώριση leak site τέλη Μαΐου · επιβεβαίωση 02/06/2026 · πλήρης διαρροή ενεργή στην περίοδο αναφοράς Θύμα: DentaQuest — μεγάλος διαχειριστής οδοντιατρικών/οφθαλμολογικών παροχών Χώρα: ΗΠΑ Τύπος επίθεσης: Data Theft / Extortion → δημόσια διαρροή Λύτρα (Ransom): ΝΑΙ — απαίτηση λύτρων. Διαπραγμάτευση απέτυχε → ΟΧΙ πληρωμή → δημόσια διαρροή 234 GB. Forensic: TTP χαρακτηριστικό ShinyHunters: vishing / τηλεφωνική κοινωνική μηχανική προς προσωπικό για πρόσβαση σε cloud-based storage (Salesforce). Συνεργασία με forensic investigators· ειδοποίηση αρχών. Επίπτωση: Διαρροή 234 GB / 2,6 εκατ. μοναδικά email + ονόματα, διευθύνσεις, DOB, τηλέφωνα, ασφαλιστικά στοιχεία υγείας. Τμήμα δεδομένων με Medicaid IDs. Συστήματα «πλήρως λειτουργικά». Πηγές: BankInfoSecurity · SecurityWeek · BleepingComputer |
4. Περιφερειακοί πάροχοι — Leak-site διεκδικήσεις (χαμηλή βεβαιότητα) Σημείωση μεθοδολογίας: τα ακόλουθα προέρχονται από leak-site aggregation (ransomware.live) χωρίς ανεξάρτητη δευτερογενή επιβεβαίωση. Παρατίθενται ως δείκτες τάσης, με ρητή επιφύλαξη ως προς την εγκυρότητα (single-source). Columbia Orthopaedic Group (Missouri, ΗΠΑ): LockBit 5.0 · ~11/06/2026 Sierra Vista Hospital (behavioral health, Sacramento, CA): LockBit 5.0 · ~11/06/2026 Clínica Vida: Direwolf · ~12/06/2026 · 3.000+ εγγραφές EHR The Banyans Health and Wellness: Qilin · ~08/06/2026 Λύτρα (Ransom): Αδιαφάνεια — δεν υπάρχουν δημόσια στοιχεία. Πηγές: ransomware.live — Healthcare |
Προφίλ Ενεργών Ομάδων Απειλών
Qilin (Agenda)
Προέλευση: Ρωσόφωνο οικοσύστημα · Ransomware-as-a-Service (RaaS)
Πρόσφατη δραστηριότητα: 168 επιβεβαιωμένα healthcare θύματα έως Ιούν.2026 · πιο ενεργή κατά παρόχων Q1 2026 (23) · Covenant Health (2025)
TTPs: Double extortion (κρυπτογράφηση + exfiltration + leak site) · cross-platform (Windows/Linux/ESXi) · συμμαχία με LockBit & DragonForce από Οκτ.2025
Πηγές: The Cyber Express · SOCRadar
LockBit 5.0 («ChuongDong»)
Προέλευση: Επανεκκίνηση μετά Operation Cronos · RaaS
Πρόσφατη δραστηριότητα: 200+ θύματα leak site από Δεκ.2025 · επισημασμένη από Health-ISAC ως από τις πιο επικίνδυνες κατά της υγείας
TTPs: Initial access μέσω phishing & exploitation ευπαθειών (~22% έκαστο) · lateral movement: PsExec, WMI, GPO abuse · payloads Windows/Linux/ESXi/Proxmox
Πηγές: Check Point Research · Vectra AI
ShinyHunters (Scattered LAPSUS$ Hunters)
Προέλευση: Διεθνής εκβιαστική κοινοπραξία (SLSH)
Πρόσφατη δραστηριότητα: Διαρροή DentaQuest (234 GB, 2,6 εκατ.) · προηγηθείσα παραβίαση Medtronic (Απρ.2026, 9 εκατ.)
TTPs: Vishing προς IT προσωπικό · στόχευση Salesforce & cloud storage · credential / OAuth token theft · double-extortion με δημόσια διαρροή
Πηγές: SecurityWeek · Paubox
FulcrumSec / «Dragonfly» (αναδυόμενη)
Προέλευση: Αναδυόμενη ομάδα data-theft extortion με έμφαση σε IP & AI/ML models
Πρόσφατη δραστηριότητα: Παραβίαση Novo Nordisk (clinical trials + AI models, απαίτηση 25 εκατ. USD)
TTPs: Εκμετάλλευση unrotated API keys, cloud misconfig, infostealer logs & cookies · low-and-slow exfiltration, dwell time >2 μήνες
Πηγές: Help Net Security · FiercePharma
Στατιστικά Λύτρων & Εβδομάδας
| Περιστατικό / Δείκτης | Απαίτηση Λύτρων | Έκβαση / Πληρωμή |
|---|---|---|
| iRhythm Holdings | ΝΑΙ — μη δημοσιευμένο ποσό | Άγνωστη έκβαση διαπραγμάτευσης |
| Novo Nordisk | ΝΑΙ — 25.000.000 USD (& 50 εκατ.) | ΟΧΙ — η εταιρεία αρνήθηκε |
| DentaQuest | ΝΑΙ — μη δημοσιευμένο ποσό | ΟΧΙ — διαρροή 234 GB |
| Leak-site διεκδικήσεις (×4) | Αδιαφάνεια | Άγνωστη |
| Ιστορικός μέσος όρος ransom υγείας (IBM 2025) | Κόστος παραβίασης ~$9,77M (healthcare) | Υψηλότερος κλάδος 14 συνεχή έτη |
Βασικά συμπεράσματα εβδομάδας
1. Το data-theft extortion έχει εκτοπίσει το κλασικό ransomware ως κυρίαρχο μοντέλο στον τομέα υγείας — και τα τρία επιβεβαιωμένα περιστατικά αφορούν κλοπή/εκβιασμό χωρίς δημοσιευμένη κρυπτογράφηση.
2. Το third-party / cloud attack surface (third-party-hosted apps, Salesforce, cloud misconfigurations, API keys) αποτελεί την κοινή οδό εισόδου — επιβεβαιώνοντας την κρισιμότητα του supply-chain risk management (NIS2, ISO 27001:2022 A.5.19–A.5.23).
3. Τα infostealer logs και τα διαρρέοντα credentials/cookies λειτουργούν ως «προθάλαμος» παραβίασης (Novo Nordisk), αναδεικνύοντας την ανάγκη credential rotation, MFA hardening και continuous dark-web monitoring.
4. Η πνευματική ιδιοκτησία και τα AI models αναδεικνύονται ως νέος, υψηλής αξίας στόχος, διευρύνοντας το πεδίο πέρα από το PHI.
Αποποίηση Ευθύνης & Πηγές
Η παρούσα αναφορά συντάχθηκε μέσω αυτοματοποιημένης αναζήτησης ανοιχτών πηγών (OSINT) με διασταύρωση κάθε επιβεβαιωμένου περιστατικού σε ≥2 ανεξάρτητες πηγές. Τα περιστατικά της ενότητας 4 βασίζονται σε μονή πηγή leak-site aggregation και επισημαίνονται ρητά ως χαμηλής βεβαιότητας. Δεν περιλαμβάνονται μη επαληθεύσιμοι ή εφευρημένοι ισχυρισμοί. Το παρόν προορίζεται αποκλειστικά για ακαδημαϊκή/ερευνητική χρήση στο πλαίσιο της διπλωματικής εργασίας MSc Κυβερνοασφάλειας (ΠΑΔΑ). Επίπεδο διαμοιρασμού: TLP:AMBER.
Κύριες πηγές: BleepingComputer · Help Net Security · SecurityWeek · HIPAA Journal · ransomware.live