TECH

Data från Sophiahemmet säljs på nätet efter stor hackerattack

Ransomwaregruppen Medusa vill ha en miljon dollar för data stulna från Sophiahemmet.

Scheman, ekonomisk data och personuppgifter – och allt går att köpa. Efter ransomware-attacken mot Sophiahemmet ligger känslig information ute till försäljning på darknet.

Publicerad Senast uppdaterad

Natten mot den tisdag den 27 februari upptäcktes en stor hackerattack riktad mot det privata sjukhuset Sopiahemmet i Stockholm.

I en TT-intervju kort efter angreppet sa Sophiahemmets chefsläkare att inget vid den tidpunkten tydde på att data hade stulits.

– Vi var beredda i samma mån som andra förberedda organisationer kan vara. Det är ju ett välkänt fenomen med hackerattacker men det är olyckligt att det händer, sa Marie Wickman Chantereau.

Kravet: En miljon dollar i lösensumma

Men nu har ransomwaregruppen Medusa tagit på sig it-attacken, samt publicerat ett inlägg på darknet där det framgår att gruppen utövar utpressning mot Sophiahemmet. Personerna bakom Medusa skriver att de vill ha en (1) miljoner amerikanska dollar i lösensumma för data som stulits – annars kommer dessa att läggas ut till försäljning.

It-säkerhetsspecialist Karl-Emil Nikka gör bedömningen att Medusas påståenden är trovärdiga.

– Det är ingen tvekan om att Medusa har fått tag i data, och att de hotar nu med att läcka den, säger han till Ny Teknik.

Publicerat filöversikt på darknet

I inlägget har Medusa även publicerat vad som kallas proof of compromise – ett slags bevis i form av en filöversikt som visar vad gruppen har kommit över för slags information. Exakt hur mycket information handlar om är inte klart i nuläget, men det rör sig om stora mängder filer och data.

– Jag kan se att de har en massa Ecxelfiler, till exempel. Dessa innehåller bland annat scheman och vad som skulle kunna vara känslig personinformation om anställda, säger Karl-Emil Nikka.

Sophiahemmet är ett av Sveriges äldsta privata sjukhus. Arkivbild.

Ny Teknik har tagit del av innehåll från Medusas darknet-inlägg. Dessa visar bland annat leverantörsuppgifter, kunddata samt vad som kan vara patientdata.

Sophiahemmet: Försöker förstå vad som hänt

Sophiahemmet bekräftar att sjukhuset har blivit kontaktade av hackergruppen. Detta har skett i form av ett meddelande med en skärmdump där Medusa skriver att gruppen sitter på data från vad som kallas ”Sophiahemmet university”.

Just nu arbetar sjukhuset tillsammans med polisen och Regions Stockholms it-experter för att gå till botten med vad som har skett, och hur it-attacken var möjlig att genomföra.

Har ni kontakt med Medusa-gruppen? Är ni i förhandlingar med dem gällande lösensumman?

– Polisen kopplades in redan förra veckan, men vi på Sophiahemmet har ingen dialog med gruppen. Vi jobbar på för fullt med att ta reda vad det här egentligen handlar om, säger Pia Hultkrantz, kommunikationsansvarig på Sophiahemmet, till Ny Teknik.

Är alla era it-system helt återställda idag?

– Nej, men vi har kommit ganska långt. Vi har succesivt flyttat våra system in i säkra it-miljöer och öppnar gradvis upp dem där. Mer än så kan jag inte säga.

Pia Hultkrantz, kommunikationsansvarig Sophiahemmet.

Hur påverkar detta er verksamhet just nu?

– Redan i förra veckan blev vi tvungna att övergå till manuella rutiner, med papper och penna, som är väl inarbetade men nu återgår vi gradvis till våra vanliga arbetssätt.

Vilka sköter driften av systemen som hackats? Har ni Tietoevry som it-leverantör?

– Vi har ett flertal olika it-leverantörer som vi samarbetar med. Tieto är inte en av dem, säger Pia Hultkrantz.