Перейти к содержанию

Атаки шифровальщиков на медицинские организации


Рекомендуемые сообщения

Каждая кибератака на клинику или больницу может в прямом смысле стать угрозой жизни и здоровью. В 2020 году здравоохранению и так пришлось несладко, а действия киберпреступников стали дополнительным источником проблем. Одной из основных киберугроз для медицинских учреждений в прошлом году стали атаки шифровальщиков-вымогателей. Злоумышленники шифруют данные и/или запугивают руководство угрозами публикации данных — и рассчитывают таким образом получить выкуп.

Такая атака может вызвать множество разных проблем. Очевидно, что при этом компания не сможет оказывать медицинские услуги, пока нормальное функционирование не будет восстановлено, но это еще не все. Есть и более долгосрочные последствия — например, штрафы от регуляторов или иски от пациентов, персональные данные которых были украдены.

Резонансные инциденты с атаками на здравоохранение

Один из громких случаев прошлого года, хорошо иллюстрирующий масштаб, — атака вымогателя Ryuk на Universal Health Services (UHS) в сентябре прошлого года. Сеть включает 400 медучреждений в США, Великобритании и других странах. К счастью, пострадали не все больницы и клиники, но атака затронула учреждения UHS в Техасе, Вашингтоне, Флориде, Калифорнии, Аризоне… Инцидент произошел ранним воскресным утром: компьютеры пользователей не загружались, на некоторых появлялось требование о выкупе. Затронута была и телефонная сеть. В результате IT-служба попросила сотрудников работать по старинке, то есть без IT-сервисов. Конечно, это нарушило привычную жизнь клиники, в том числе помешало работе врачей, проведению лабораторных исследований и так далее. Некоторых пациентов пришлось перенаправить в другие больницы.

В официальном заявлении UHS отмечает, что данные, включая истории болезни, скомпрометированы не были, и информацию удалось восстановить из бэкапов. Однако в марте этого года компания опубликовала отчет, где сообщила, что эта атака обошлась ей в $67 млн. Сюда включены расходы на восстановление данных, упущенная прибыль из-за простоя и снижения потока пациентов и так далее.

А вот инцидент в Ascend Clinical — компании, специализирующейся на анализах для пациентов, которые страдают хронической болезнью почек, — привел к утечке данных свыше 77 000 тысяч больных. В этом случае известна причина заражения: один из сотрудников «неудачно» перешел по ссылке из фишингового письма. Проникнув в систему, злоумышленники добрались в том числе до персональных данных пациентов — имен, дат рождений и номеров соцстрахования.

Атака на Magellan Health, произошедшая в апреле 2020 года, привела к компрометации персональных данных как сотрудников, так и пациентов (по данным СМИ, она затронула 365 000 человек). Злоумышленникам каким-то образом удалось при помощи социальной инженерии выдать себя за одного из клиентов, получить доступ к внутренней сети, при помощи вредоносного софта перехватить учетные данные для доступа на сервер — и уже тогда зашифровать его.

Интересно, что при атаках на здравоохранение злоумышленники часто предпочитают шифровать и воровать данные именно с серверов, а не с рабочих станций. То же самое случилось с серверами Florida Orthopaedic Institute — злоумышленники зашифровали (предварительно похитив) данные 640 тысяч пациентов. После чего институт столкнулся с достаточно неприятным иском от компании, представляющей интересы пострадавших пациентов.

Это — некоторые из наиболее громких инцидентов, но ими список, конечно же, не ограничивается.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От KL FC Bot
      Давно ли вам звонил человек из «службы безопасности» какого-нибудь банка и настойчиво предлагал перевести деньги на другой счет во имя безопасности? Если да, то вы столкнулись с вишингом.
      Что такое вишинг и почему он так называется
      Вишинг (англ. vishing) — это сплав слов «voice» и «phishing», проще говоря, «голосовой фишинг», то есть попытка мошенников обманом выведать у жертвы какие-то конфиденциальные сведения по телефону. Чаще всего это код подтверждения. По аналогии с вишингом существует еще и смишинг, то есть фишинг в коротких сообщениях (sms + фишинг), про него мы недавно рассказывали.
      Впрочем, именно вишинг стал одним из антигероев информационной безопасности последнего времени: по данным СМИ, в 2020 году 84% всех попыток мошенников обмануть россиян приходились именно на телефонные разговоры. И хотя успешным оказывается лишь один из ста подобных звонков, в совокупности преступникам удается таким образом ежемесячно выкачивать из своих жертв миллиарды рублей.
      Из смешного — иногда мошенники звонят настоящим сотрудникам банков, получается как в том меме: знаете, я и сам своего рода из службы безопасности…
      Из совсем несмешного: попасться на удочку мошенников может кто угодно, даже если человеку кажется, что он прекрасно знаком с этой схемой развода. Некоторые «сотрудники» оказываются неплохими психологами, способными втереться в доверие и усыпить бдительность самого внимательного респондента.
      Кроме того, мошенники регулярно обновляют свои схемы. Например, после того как фраза про службу безопасности фактически стала мемом, они переключились на другие учреждения. Из последних трендов — звонки от имени государственных структур, например МВД или Центробанка. Вполне вероятно, что когда такая схема тоже устареет, скамеры придумают новую. Так что лучше всегда быть начеку.
       
      View the full article
    • От KL FC Bot
      При подготовке целевой атаки на компанию злоумышленники периодически прибегают к тактике Dumpster Diving. Проще говоря — они роются в мусорных контейнерах в надежде найти информацию, которая поможет им достичь своей цели. Подробно этот способ показан в фильме «Хакеры», где главные герои перед атакой на корпорацию залезают в ее мусорный бак. Конечно, в реальности найти в отходах 50 паролей не получится, но кое-какие данные, которые могут оказаться полезными атакующим, — вполне.
      Чего не стоит выкидывать в мусорный бак
      Разумеется, мало кому придет в голову искать среди отходов документы с грифом «совершенно секретно» или «конфиденциально». Однако для дискредитации компании или организации целевой атаки это и не обязательно. В первом случае злоумышленники ищут компромат, а во втором — пытаются найти информацию, которая поможет им воспользоваться методами социальной инженерии, чтобы обмануть кого-то из сотрудников.
      Какой мусор позволит скомпрометировать компанию
      Какая информация в мусорном ящике может скомпрометировать компанию? Если предположить, что вы не выкидываете записи о ведении черной бухгалтерии или отчеты о том, как ваша деятельность вредит экологии, то основную опасность для компании представляют оказавшиеся в урне персональные данные клиентов или сотрудников. В наше время такая находка гарантирует проблемы с регуляторами и внушительные штрафы практически во всех регионах, где работает ваша компания.
      Между тем случаи, когда персональные данные оказываются на помойке, продолжают встречаться. До сих пор не все сотрудники понимают, что даже список адресов доставки пиццы, напечатанный для курьера, — это тоже конфиденциальная информация. Но выкидывают и более опасные документы: медицинские записи с номерами социального страхования, счета об оплате вместе с данными банковских карт, сканы документов, удостоверяющих личность.
       
      View the full article
    • От KL FC Bot
      Игроки в World of Warcraft регулярно становятся мишенью мошенников — то им угрожают баном в чате, то дарят виртуальных питомцев (на самом деле нет). Обычно злоумышленники охотятся за учетками, но сегодня мы расскажем о том, как они посягают на внутриигровое золото.
      В конце мая на Reddit появился пост пользователя Legitamasterr с описанием оригинальной схемы мошенничества на аукционе World of Warcraft Classic. Игрок хотел купить стак [Темпоральный манипулятор] за 66 золотых, но в итоге с его персонажа списали более 11 тысяч монет. Оказывается, игрок стал жертвой вредоносной модификации интерфейса. Объясняем, как не повторить его судьбу и защититься от злоумышленников.
      Что такое модификации интерфейса в World of Warcraft (и зачем они нужны)
      Модификации (в просторечии — аддоны) — полезная и подчас незаменимая штука в World of Warcraft. Они позволяют подгонять интерфейс под себя, фильтровать спам в игровом чате и многое другое. Один из самых распространенных аддонов называется WeakAuras. С его помощью можно настроить удобный доступ практически к любой информации. К примеру, он может показывать таймер до следующего суперудара босса; предупреждать, что на вас повесили проклятие, наносящее повреждения рядом стоящим игрокам; отслеживать запасы маны у рейдовых целителей и так далее.
      WeakAuras — это, в сущности, конструктор: все таймеры и индикаторы добавляются в базовый аддон при помощи написанных на языке Lua скриптов, которые принято называть «аурами». Многие сайты предлагают готовые сборки этих самых аур — на конкретные классы, ветки прокачки и даже профессии. Но иногда игрокам требуется что-то более специфическое — например, аура для единичного квеста или экспериментальной тактики на какого-то босса. Игроки, разбирающиеся в программировании, могут подстраивать функции аддона под себя или создавать скрипты для других.
      Иногда в рейде со случайными партнерами абсолютно незнакомый лидер рейда может ультимативно заявить: «Мы бьем босса по новой тактике, всем срочно установить эту ауру», — и кидает ссылку. Не согласиться с его требованием, конечно, можно, но тогда тебя просто выкинут из рейда. Самое печальное, что ссылку на скрипт обычно кидают прямо в чат рейда, и многие не задумываясь устанавливают ауру в свой аддон, просто кликнув на нее.
      Ссылки на ауры также можно найти на форумах или в игровых чатах. При этом важно помнить, что использовать их может быть рискованно: их легитимность централизованно никто, естественно, не проверяет, поэтому в них легко спрятать вредоносный сюрприз. Без знания языка Lua проверить, что внутри кода, не получится. К тому же обманная аура вполне может до поры до времени вести себя, как любой порядочный аддон, и сработать только в определенных условиях. Этим и пользуются охотники за чужим золотом на просторах Азерота.
       
      View the full article
    • От KL FC Bot
      Современные антифишинговые и антиспам-решения для выявления нежелательных писем все чаще используют разнообразные варианты технологий машинного обучения. Для анализа текста применяются нейросети, которые не так просто обмануть. Поэтому злоумышленники начали очень активно применять простой, но действенный трюк — помещать весь текст на картинку. Причем картинку они встраивают в тело письма (в кодировке Base64), а не размещают на стороннем сайте, как это происходит обычно (в таком случае почтовый клиент просто не отобразил бы изображение в письме, пришедшем с адреса вне компании).
      Целью большей части таких писем, как обычно, является выманивание учетных данных от Microsoft Office 365. В очередной раз мы бы хотели обратить ваше внимание на признаки мошенничества, которые позволят вам оставаться в безопасности.
      Фишинговое письмо
      По большому счету, письмо просто представляет собой картинку на белом фоне (это помогает ей сливаться с интерфейсом почтового клиента). Вот типичный пример фишингового письма такого рода:

      Начнем с того, что легальных причин, по которым современное письмо может оказаться картинкой, нет. Тем более письмо, сгенерированное автоматически (а извещение о необходимости верификации учетной записи — 100% автоматически созданное послание). Пользователю достаточно просто определить, что перед ним не текст, а картинка — курсор мыши не изменяется при подведении к гиперссылке или кнопке. Ведь здесь URL зашит под картинку, и, по сути, вся картинка является единой кнопкой/ссылкой.
      Если у вас остаются сомнения, можете попробовать выделить часть текста или изменить размер окна почтового клиента. На картинке вам, разумеется, не удастся выделить слово, а при изменении масштабирования окна длина строк «письма» останется постоянной.
       
      View the full article
×
×
  • Создать...