Больницы всегда, даже в лучшие времена, являлись одной из наиболее важных критических инфраструктур, а сейчас, с глобальной чрезвычайной ситуацией в области здравоохранения, вызванной COVID-19, тем более. В наши дни крайне важно, чтобы больницы функционировали настолько хорошо, насколько это возможно, без каких-либо сбоев.
Однако мы не должны упускать из виду тот факт, что весь сектор в настоящее время находится в разгаре технологической революции, и вся информация хранится в цифровом виде, что может принести большую пользу пациентам. Вся эта информация также доступна в Интернете, так что, если пациент сменит врача, история болезни пациента будет легко доступна. Именно это технологическое усовершенствование создало серьезную проблему безопасности для отрасли здравоохранения в целом. Медицинская информация очень ценна, поэтому, если кибер-преступнику удастся заполучить ее в свои руки, он сможет извлечь из этого большую прибыль.
В наши дни больницы являются очень популярными мишенями для кибер-преступности. Это, среди прочих причин, связано с объемом обрабатываемых ими персональных данных, а также с их ИТ-системами, которые часто являются устаревшими в силу недостаточного уровня финансирования. Некоторые группы кибер-преступников заявили, что они не будут нападать на больницы во время нынешней пандемии, но есть множество остальных групп хакеров, которые проигнорировали эту похвальную инициативу. Один из таких примеров был замечен в Чехии, где в середине марта кибер-атака парализовала университетскую больницу, которая проводила тесты и исследования для смягчения распространения коронавируса.
Испания: кладезь для инфекций и шифровальщика Netwalker
Например, Испания – одна из стран, наиболее пострадавших от пандемии коронавируса, а ее больницы работают безостановочно в усиленном режиме, чтобы лечить пациентов. Но теперь у испанских больниц есть еще одна насущная проблема: шифровальщики.
В минувшее воскресенье национальные агентства по кибер-безопасности обнаружили попытку заблокировать ИТ-системы испанских больниц, отправив вредоносные электронные письма медицинскому персоналу. Эти электронные письма имели вложение, которое якобы содержало информацию о коронавирусе covid-19 в файле под названием " CORONAVIRUS_COVID-19.vbs".
В этот файл был встроен исполняемый файл шифровальщика Netwalker и запутанный код для его извлечения и запуска на компьютере жертвы. После запуска Netwalker шифрует файлы на компьютере и добавляет случайное расширение к зашифрованным файлам.
После завершения процесса шифрования, шифровальщик оставляет уведомление под названием [расширение]-Readme.txt. В нем содержатся инструкции по восстановлению зашифрованных файлов.
Хорошая новость заключается в том, что массовое распространение этой кибер-угрозы еще не началось. Однако, учитывая чрезвычайную ситуацию, в которой находится страна, такая кибер-атака на медицинский центр будет иметь разрушительные последствия.
Процесс выдалбливания: техника обхода
Netwalker атакует системы Windows 10 и способен отключить антивирусное программное обеспечение. Однако, чтобы избежать срабатывания обнаружения со стороны антивируса, он не отключает системы безопасности устройства – он вводит вредоносный код непосредственно в Проводник Windows.
Чтобы избежать обнаружения, Netwalker также использует так называемую технику «выдалбливания процесса» (process hollowing). Упрощенно говоря, в этом случае область памяти, привязанная к процессам с приостановленным состоянием, заполняется вредоносным кодом. Такие методы позволяют шифровальщику обойти решения по информационной безопасности, которые используют белые списки и сигнатуры для обнаружения вредоносных программ.
Как защитить больницы
Сейчас как никогда важно обеспечить безопасность больниц. Для того чтобы обеспечить их защиту, крайне важно, чтобы все предпринимали усилия для сдерживания шифровальщиков, пробирающихся в ИТ-системы организаций из сферы здравоохранения.
Первый шаг, который должен быть фундаментальной частью любого плана информационной безопасности, - это чрезвычайная осторожность при работе с электронной почтой. Электронная почта является одной из ведущих точек проникновения вредоносных программ, при этом почта используется в каждой компании. Чтобы защититься, крайне важно, чтобы мы никогда не открывали вложения от неизвестных отправителей. Также очень важно никогда не нажимать на ссылки в электронных письмах от незнакомых людей, так как они также могут облегчить установку вредоносных программ.
Еще одной важной мерой является использование передовых решений в области информационной безопасности с опциями расширенной защиты. Решение Panda Adaptive Defense способно контролировать всю активность на всех конечных устройствах сети. Решение не использует сигнатуры для обнаружения вредоносных программ. Вместо этого любой неизвестный процесс приостанавливается перед своим запуском и анализируется, после чего ему разрешается запуститься только в том случае, если он классифицируется как легитимный. Такой подход «нулевого доверия» гарантирует безопасность вашей ИТ-системы.
Чтобы надежно защитить учреждения в сфере здравоохранения, этот жизненно важный сектор, во время продолжающейся пандемии коронавируса, компания Panda Security предоставляет бесплатные лицензии EDR-решения Panda Adaptive Defense для обеспечения безопасности конечных устройств от сложных угроз и атак, с которыми не способны справиться традиционные антивирусные решения. Данное решение может работать параллельно с имеющимся корпоративным антивирусом, не требуя его удаления. Т.к. Panda Adaptive Defense является облачным SaaS-решением, то для его внедрения не требуется выделять какую-то дополнительную инфраструктуру – достаточно только системному администратору использовать свой обычный веб-браузер.
Таким образом, больницы смогут продолжать эффективно выполнять свою работу в эти критические дни, не беспокоясь о своей информационной безопасности.
Для получения бесплатных лицензий Panda Adaptive Defense на любое количество устройств, обращайтесь в компанию Panda Security, оставив заявку на sales@rus.pandasecurity.com.
