У розпал літа лікарня Cookeville Regional Medical Center у Теннессі опинилася в епіцентрі однієї з найгучніших атак 2025 року. 13 липня кіберзлочинці з угруповання Rhysida проникли в мережу лікарні, викравши десятки конфіденційних документів. За два тижні, 2 серпня, CRMC з’явилася на даркнет-аукціоні — там Rhysida виставили вкрадені дані на продаж із початковою ціною 10 BTC (понад 1,1 млн$).
У публічному доступі вже з’явилися скан-копії:
посвідчення водія
медичні історії пацієнтів
фінансові й податкові документи
архіви, датовані ще 2018 роком
Попри це, керівництво клініки заявило, що життєво важлива допомога не зупинилася, хоча в соцмережах пацієнти скаржаться на відмову в обстеженнях, скасування операцій, затримки результатів. Один із коментарів на Facebook звучить як вирок: *«40 людей чекали понад 8 годин, і ніхто нічого не пояснював. Це не збій — це хаос».*
Rhysida — російськоафілійована група з темною репутацією. З’явившись у 2023 році, вона майже подвоїла кількість атак за рік — нині у списку понад 200 жертв. Хакери не вибирають ціль із поваги — вони атакують найслабших: лікарні, школи, муніципалітети, навіть уряди.
Відомі прийоми Rhysida:
фішинг-атаки для первинного проникнення
використання Cobalt Strike для аналізу внутрішніх вразливостей
шантаж через емоційний тиск: «або платите — або страждають пацієнти»
Серед постраждалих — уряди Перу й Канади, The Washington Times, бібліотека Великобританії, кілька американських клінік і навіть аеропорт Seattle-Tacoma, за який хакери вимагали 100 BTC.
CRMC — це не провінційна лікарня, а медичний центр, який обслуговує 250 000 пацієнтів у 14 округах штату Теннессі та Кентуккі. У ньому працюють понад 2 500 осіб, 175 лікарів і понад 40 спеціалізованих напрямів медицини. Злам такої системи — це не просто крадіжка даних, а удар по життєзабезпеченню людей, які просто зараз потребують допомоги. Але Rhysida, схоже, це не зупиняє.
Керівництво лікарні запевняє, що ІТ-відділ працює 24/7, а також залучено зовнішніх експертів і федеральні служби. Проте конкретних строків відновлення мереж і сервісів — досі не опубліковано. Пацієнтів обіцяють сповістити, якщо слідство доведе факт витоку особистих даних.
Ця атака — ще одне підтвердження: хакери обрали медицину як ціль №1. Бо що більша вразливість — то вищий шанс на викуп. Rhysida продовжують використовувати тиск, страх і тишу, а значить — щодень мовчання лікарні лише посилює позицію нападників.