Atak ransomware na University of Hawaiʻi Cancer Center: zaszyfrowane serwery badawcze i możliwy wyciek numerów SSN z lat 90.

Wprowadzenie do problemu / definicja luki

W University of Hawaiʻi Cancer Center doszło do incydentu typu ransomware, w którym atakujący uzyskali nieautoryzowany dostęp do serwerów wspierających operacje badawcze, zaszyfrowali pliki i – według ustaleń z wewnętrznej analizy – mieli możliwość eksfiltracji części plików badawczych.

W tym przypadku ryzyko nie dotyczyło klasycznych systemów klinicznych (EHR), ale repozytoriów badań, które mogą zawierać wrażliwe identyfikatory uczestników projektów – w tym historycznie używane numery Social Security (SSN).

W skrócie

• Wykrycie incydentu: ok. 31 sierpnia 2025 (wg raportu UH).
• Zakres: „specyficzne serwery” wspierające badania; brak wpływu na opiekę kliniczną i dokumentację pacjentów leczonych w ramach Cancer Center.
• Dane: część plików z lat 90. miała zawierać SSN używane wtedy do identyfikacji uczestników badań.
• Powiadomienia: w momencie publikacji doniesień medialnych uczelnia była na etapie kompletowania listy i adresów osób do powiadomienia.
• Działania naprawcze: m.in. EDR/endpoint protection z monitoringiem 24/7, reset haseł, odbudowa systemów, wymiana firewalla i audyt zewnętrzny.

Kontekst / historia / powiązania

Sprawa stała się głośna głównie z dwóch powodów:

1. Wartość danych badawczych – w badaniach onkologicznych pojawiają się zestawy danych o wysokiej wrażliwości (biomarkery, dane demograficzne, identyfikatory uczestników, metadane próbek). Nawet jeśli nie są to „rekordy medyczne” w sensie klinicznym, skutki wycieku mogą być porównywalnie dotkliwe.
2. Transparentność i timingi – media wskazują na opóźnienie w raportowaniu i brak części szczegółów (np. liczby osób, dokładnego projektu badawczego).

W tle pojawia się też reżim prawny: Hawaiʻi ma przepisy wymagające zawiadomień „bez nieuzasadnionej zwłoki” oraz raportowania w określonych scenariuszach (w tym dla instytucji publicznych).

Analiza techniczna / szczegóły luki

Z publicznie dostępnych informacji wynika następujący, dość typowy łańcuch zdarzeń dla ransomware:

1. Nieautoryzowany dostęp do serwerów badawczych
   Raport opisuje incydent jako odizolowany do konkretnych serwerów obsługujących badania.
2. Szyfrowanie plików przez operatorów ransomware
   Skala szyfrowania była na tyle duża, że proces przywracania dostępu i oceny wpływu na dane zajął „pewien czas”.
3. Możliwa eksfiltracja (“opportunity to exfiltrate”)
   To krytyczny fragment: organizacja wskazuje, że strona trzecia miała dostęp i możliwość wyprowadzenia podzbioru plików badawczych.
4. „Engagement” z atakującymi i odzyskanie możliwości odszyfrowania
   UH informuje o podjęciu trudnej decyzji o wejściu w interakcję z threat actorami, aby chronić potencjalnie poszkodowanych, oraz o pozyskaniu narzędzia do deszyfracji i działaniach mających „zabezpieczyć zniszczenie” wykradzionych danych. To nie jest jednak równoznaczne z kryptograficzną gwarancją usunięcia kopii po stronie przestępców.
5. E-discovery / przegląd plików i identyfikacja SSN z lat 90.
   W toku przeglądu wykryto zestaw plików (datowanych na lata 90.) zawierających SSN, używane wówczas jako identyfikator uczestników.

Warto odnotować: zarówno raport UH, jak i relacje medialne podkreślają, że dotyczyło to plików badawczych, a nie pełnej dokumentacji leczenia pacjentów.

Praktyczne konsekwencje / ryzyko

Ryzyka dla osób, których dane mogły wyciec

• Kradzież tożsamości i nadużycia finansowe – SSN to w USA kluczowy identyfikator do fraudów kredytowych.
• Ryzyko wtórnego szantażu – nawet jeśli organizacja uzyskała deklaracje „destrukcji”, praktyka ransomware pokazuje, że dane mogą wrócić w kolejnych falach wymuszeń (double extortion). (To wniosek analityczny oparty na schemacie ataków; w tym incydencie nie opublikowano dowodów rzeczywistego „wycieku na leak site”).

Ryzyka dla organizacji (uczelnia / ośrodek badawczy)

• Utrata integralności danych badawczych – zaszyfrowanie i odzyskiwanie z narzędzi threat actorów zwiększa ryzyko błędów, uszkodzeń, braków w danych i problemów z odtwarzalnością wyników.
• Koszty prawne i reputacyjne – szczególnie gdy dotyczy to uczestników badań klinicznych i projektów z długim horyzontem (lata 90. → dziś).
• Ryzyko compliance – raportowanie, kompletność zawiadomień, oraz komunikacja z interesariuszami jest częścią „damage control” równie ważną jak IR techniczny.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw „co warto zrobić” w podobnym incydencie (część z nich UH już deklaruje):

Dla organizacji (IT/SOC/IR + compliance)

1. Odseparowanie środowisk badawczych od reszty domeny (segmentacja, zasady najmniejszych uprawnień, restrykcyjne ścieżki danych).
2. EDR + monitoring 24/7 oraz twarde „containment playbooki” (UH wskazuje wdrożenie endpoint protection i monitoring).
3. Przegląd tożsamości i dostępów (IAM): reset haseł to minimum; kluczowe są rotacje kluczy, wyłączenie kont serwisowych, ograniczenie RDP/SSH, MFA na administracji. (UH raportuje reset haseł i wymianę kont dla skompromitowanych użytkowników).
4. Rebuild zamiast „czyszczenia”: odtwarzanie z zaufanych obrazów + walidacja integralności; UH opisuje odbudowę systemów i wymianę firewalla.
5. E-discovery i data mapping: szybkie określenie, jakie dane są w repozytoriach badawczych (szczególnie „legacy” z lat 90./2000), oraz czy zawierają identyfikatory typu SSN.
6. Komunikacja i powiadomienia: przygotuj szablony, helpdesk, FAQ, i harmonogramy zgodne z lokalnym prawem („without unreasonable delay” oraz raportowanie do instytucji).

Dla osób potencjalnie poszkodowanych (jeśli otrzymają powiadomienie)

• skorzystać z oferowanego monitoringu kredytowego/ochrony tożsamości, jeśli jest dostępny (UH zapowiada taką ofertę),
• ustawić alerty kredytowe / rozważyć zamrożenie kredytu (USA),
• uważać na spear-phishing podszywający się pod uczelnię/centrum (incydenty ransomware często generują fale scamów po publikacji informacji).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Badania vs klinika:

• W szpitalach głównym celem są systemy HIS/EHR i ciągłość opieki. Tu – wg raportu – opieka kliniczna nie ucierpiała, a epicentrum było w serwerach badawczych.
• Repozytoria badań często zawierają „legacy data” oraz niestandardowe identyfikatory (np. SSN jako „pseudo-ID” w latach 90.), co podnosi ryzyko, że w systemach w ogóle znajdą się dane, których nikt już nie spodziewa się w obiegu.

Transparentność:

• W wielu incydentach ransomware organizacje publikują: zakres danych, liczbę osób, timeline i status notyfikacji. W tej sprawie część informacji (np. liczba poszkodowanych) pozostawała nieujawniona na etapie doniesień.

Podsumowanie / kluczowe wnioski

• Incydent w UH Cancer Center wygląda na klasyczny ransomware z elementem możliwej eksfiltracji danych.
• Najbardziej wrażliwy komponent to historyczne pliki z SSN uczestników badań z lat 90.
• Nawet jeśli atak nie dotknął kliniki, dane badawcze mogą generować równie poważne ryzyka (tożsamość, reputacja, integralność badań).
• Dla instytucji naukowych kluczowe są: segmentacja środowisk badawczych, uporządkowany data inventory (zwłaszcza „legacy”), oraz twarde procedury IR + komunikacja/zgodność prawna.

Źródła / bibliografia

1. Raport University of Hawaiʻi do legislatury (HRS 487N-4): „Report on Data Exposure at the University of Hawaiʻi – Cancer Center” (December 2025). (hawaii.edu)
2. SecurityWeek (Associated Press): „Hackers Accessed University of Hawaii Cancer Center Patient Data; They Weren’t Immediately Notified”. (SecurityWeek)
3. BleepingComputer: „University of Hawaii Cancer Center hit by ransomware attack”. (BleepingComputer)
4. Perkins Coie – zestawienie wymogów dotyczących notyfikacji naruszeń (Hawaii) i raportowania do legislatury. (Perkins Coie)
5. Chapter 487N (Hawaii) – przepisy dot. notyfikacji naruszeń („without unreasonable delay”, opóźnienie na wniosek organów ścigania itd.).