Vào ngày 04/6 vừa qua, một nhóm tin tặc tống tiền bằng phần mềm độc hại (ransomware) đã đăng một bản cập nhật trên trang web rò rỉ (dark web) của chúng, trong đó chúng tuyên bố đã đánh cắp dữ liệu nhạy cảm từ Bệnh viện American Dubai (AHD), làm ảnh hưởng đến 450 triệu hồ sơ bệnh nhân.

"Chúng tôi đã xóa một lượng dữ liệu khổng lồ khỏi AHD, đồng thời sẽ tiết lộ thêm dữ liệu Tài chính của họ. Hãy chú ý đến trang web của chúng tôi", bài đăng mà nhóm tin tặc cảnh báo, cho thấy chúng sử dụng một chiến thuật gây áp lực phổ biến để buộc bệnh viện phải có những hành động thiết thực. Băng nhóm này đã đe dọa sẽ công khai dữ liệu bị đánh cắp vào ngày 08/6 tới đây.

Các chuyên gia nghiên cứu đã liên hệ với Bệnh viện American Dubai để xác nhận thông tin, nhưng vẫn chưa nhận được bất cứ phản hồi nào.

AHD là một trong những nhà cung cấp dịch vụ chăm sóc sức khỏe tư nhân uy tín nhất trong khu vực. Được thành lập vào năm 1996 và là một phần của Tập đoàn Mohamed & Obaid Al Mulla, cơ sở chăm sóc sức khỏe này có 254 giường lưu trú này tọa lạc tại quận Oud Metha của Dubai.

Bệnh viện cung cấp dịch vụ cho hơn 40 chuyên khoa và nổi tiếng với sự đổi mới trong Y khoa, bao gồm hơn 1.800 ca phẫu thuật bằng robot sử dụng hệ thống phẫu thuật da Vinci Xi.

Dữ liệu nào đã bị đánh cắp?

Nhóm ransomware bị cáo buộc đã đánh cắp một kho dữ liệu khổng lồ, tổng cộng là 4TB dữ liệu chưa nén. Theo bài đăng của họ, dữ liệu bị đánh cắp bao gồm thông tin khách hàng nhạy cảm gồm thông tin cá nhân và dữ liệu nhân khẩu học; Số thẻ tín dụng; Lịch sử thanh toán; Số ID; Hồ sơ lâm sàng, bao gồm tình trạng sức khỏe và kế hoạch điều trị

Mặc dù nhóm khẳng định rằng dữ liệu bệnh nhân là một phần của vụ trộm, nhưng dữ liệu mẫu mà nhóm nghiên cứu của trang Cybernews đã kiểm tra có vẻ chủ yếu mang tính chất tài chính. Dữ liệu này bao gồm các tài liệu nội bộ của bệnh viện như báo cáo tài chính, hồ sơ bảng lương và hồ sơ thanh toán.

Nếu toàn bộ tập dữ liệu chứa những gì băng nhóm này tuyên bố, thì vụ vi phạm này có thể gây ra những tác động nghiêm trọng đến quyền riêng tư và quy định, đặc biệt là khi liên quan đến dữ liệu ID tài chính và quốc gia trong một khu vực có luật an ninh mạng nghiêm ngặt.

Gunra ransomware là gì?

Gunra là một tác nhân đe dọa mới trong hàng ngũ các nhóm ransomware. Phân tích của Cyfirma nêu rằng, Gunra Ransomware Group xuất hiện vào tháng 4/2025. Theo công cụ giám sát dark web Ransomlooker của Cybernews, băng nhóm này đã tuyên bố có 12 nạn nhân kể từ khi thành lập.

Băng nhóm Gunra đã xây dựng danh tiếng nhắm vào các lĩnh vực đa dạng như bất động sản, dược phẩm và sản xuất. Chúng sử dụng kỹ thuật tống tiền kép bằng cách đe dọa rò rỉ dữ liệu bị đánh cắp và có động cơ là lợi nhuận tài chính.

Khi đã xâm nhập vào hệ thống, Gunra sẽ nhanh chóng hoạt động. Chúng mã hóa các tệp và thêm phần mở rộng “.ENCRT” vào từng tệp, khóa người dùng khỏi dữ liệu của chính họ. Bên cạnh những tổn thất mà chúng gây ra, nhóm này để lại một ghi chú đòi tiền chuộc trong mỗi thư mục, nêu rõ các bước thanh toán và khôi phục dữ liệu.