Interlock-lunnasohjelmaryhmän hyökkäys Kettering Healthiin – Kriittisen tason tietomurto ja toiminnan lamautuminen
Tiivistelmä
Interlock-lunnasohjelmaryhmä otti vastuun massiivisesta kyberhyökkäyksestä Yhdysvaltain Ohio-osavaltiossa toimivaan Kettering Health -terveydenhuoltoverkkoon. Hyökkäys johti laajamittaiseen tietovuotoon (941 gigatavua) ja pakotti järjestelmän henkilöstön siirtymään paperipohjaiseen dokumentointiin, kun potilastietojärjestelmät ja puhelinpalvelut lamaantuivat viikoiksi2.
Tapahtumien kulku ja vaikutukset
Hyökkäyksen laajuus ja vaikutukset organisaatioon
Kettering Health ylläpitää 14 sairaalaa ja yli 120 ulkoista hoitoyksikköä sekä työllistää yli 15 000 ihmistä. Hyökkäys alkoi 20.5.2025 ja aiheutti välittömästi laajan toimintahäiriön mm. call centerin ja potilastietojärjestelmien sulkeutuessa. Henkilöstö joutui palaamaan käsinkirjaukseen, ja osa toimenpiteistä sekä vastaanotoista jouduttiin perumaan. Sairaaloiden päivystys sekä kiireellinen hoito jatkuivat koko ajan.
Tietomurto ja vuotaneet tiedot
Interlock julkisti Kettering Health -iskun ja vuoti verkkosivustollaan näytteen varastetusta datasta. Ryhmä väittää vieneensä 941 gigatavua tietoa – sisältäen mm. palkkatietoja, pankkiraportteja, potilasdokumentteja, apteekkien ja veripankin tietoja, poliisihenkilöstön tiedostoja sekä henkilöllisyystodistusten ja passien skannauksia.
Järjestelmän palautus ja Kettering Healthin toimet
EHR-palautus: Sähköinen potilastietojärjestelmä (Epic EHR) palautettiin käyttöön 2.6.2025, mutta MyChart-järjestelmä ja puhelinpalvelut olivat edelleen osittain poissa käytöstä.
Turvatoimet: Kaikki hyökkäyksessä käytetyt työkalut ja ”persistence”-mekanismit poistettiin. Verkkoeristystä, monitorointia ja käyttöoikeuksia päivitettiin ulkoisten asiantuntijoiden avustuksella.
Viestintä: Potilaita ja henkilökuntaa varoitettiin mahdollisista huijausviesteistä ja -soitoista, joilla yritetään kalastella tietoja hyökkäyksen jälkiaaltona.
Palveluiden jatkuvuus: Päivystyspalvelut pysyivät avoinna koko ajan ja kiireettömät potilaat ohjattiin erityisiin käyntipisteisiin.
Ryhmän tausta ja taktiikat
Interlock on vuonna 2024 noussut lunnasohjelmatoimija, joka on jo aiemmin hyökännyt useisiin terveydenhuollon organisaatioihin ja käyttänyt mm. NodeSnake RAT -haittaohjelmaa sekä ClickFix-työkaluja verkkoon tunkeutumisessa. Ryhmän modus operandi on yhdistää tietomurto, lunnasvaatimus sekä tietovuoto paineen lisäämiseksi uhreihin.
