За последние несколько месяцев больницам по всему миру пришлось пережить несколько самых трудных моментов. Нынешняя пандемия Covid-19 довела работу этих критически важных учреждений до предела. Должный уровень функционирования больниц прямо сейчас настолько важен, что некоторые группы кибер-преступников даже пообещали не нападать на больницы во время пандемии. Другие, однако, не были столь благосклонны.

Шифровальщики во время коронавируса Covid-19

В середине марта кибер-атака остановила работу университетской больницы, которая проводила исследования по предотвращению распространения коронавируса. Через несколько недель испанская полиция начала выявлять попытки блокировки ИТ-систем больниц по всей стране. По данным Microsoft, эти инциденты не являются единственными.

Команда специалистов по безопасности Microsoft обнаружила несколько «вручную осуществляемых» целевых атак на больницы, которые начались в начале апреля. Microsoft отслеживала эти атаки с начала года. Таким образом, считается, что их активация во время пика пандемии коронавируса covid-19 является преднамеренной тактикой, направленной на получение большей финансовой выгоды.

Некоторые из используемых тактик похожи на те, что используются при APT: кража учетных данных, горизонтальные перемещения с помощью Mimikatz и Cobalt Strike, разведка и извлечение данных.

Извлечение данных: дополнительная опасность

Все более распространенной тактикой среди кибер-преступников является сочетание атак шифровальщиков с утечкой данных. Microsoft объясняет, что организации должны ожидать кражу данных при атаке шифровальщиков, если их «полезная нагрузка» включает RobbinHood, Maze, PonyFinal, Vatet Loader, REvil или Netwalker. Хотя лишь немногие из этих групп имеют репутацию продавцов личной информации, но почти все они получали доступ к данным и извлекали их во время своих атак, даже если они еще не рекламировали и не продавали эти данные.

Слабые и уязвимые места

Чтобы провести эти атаки, в системах своих жертв использовалось несколько слабых мест: RDP-соединения без многофакторной аутентификации, EoL- платформы с закончившейся поддержкой разработчиков (например, Windows 2003), неправильно настроенные веб-серверы, системы Citrix Application Delivery Controller, затронутые уязвимостью CVE-2019-19871, и VPN-системы Pulse Secure с CVE-2019-11510.

Microsoft также предупредили, что этими же шифровальщиками могут быть использованы такие уязвимости: CVE-2019-0604, CVE-2020-0688, CVE-2020-10189.

Fresenius: самая последняя жертва шифровальщиков

В начале мая крупнейший в Европе частный оператор медучреждений был поражен атакой шифровальщика Snake. Представитель компании пояснил, что «специалисты ИТ-безопасности в Fresenius обнаружили компьютерный вирус на компьютерах компании» и что «ИТ-эксперты продолжают работать над скорейшим решением проблемы и обеспечением корректного выполнения соответствующих операций».

Как защитить больницы от этих атак

Похоже, что подобные атаки шифровальщиков на такие уязвимые объекты не прекратятся в ближайшее время. Поэтому крайне важно, чтобы больницы были защищены от этих угроз и были способны продолжать оказывать жизненно важные услуги.

Одним из наиболее важных шагов, которые можно предпринять во избежание целенаправленных атак шифровальщиков, является надлежащая защита RDP-соединений: по данным ФБР, от 70% до 80% атак шифровальщиков начинаются с данного протокола удаленного рабочего стола. Если вам нужно использовать этот инструмент (чрезвычайно распространенная ситуация в наши дни), то крайне важно использовать многофакторную аутентификацию для входа в систему.

Еще одной важной мерой является предотвращение использования шифровальщиками уязвимых мест в качестве точки проникновения. Многие из упомянутых здесь атак используют уязвимости в системах своих жертв, чтобы проникнуть на компьютеры. Чтобы остановить эту ситуацию, очень важно иметь возможность как можно скорее применить необходимые патчи.

С помощью модуля Panda Patch Management вы можете быть уверены, что всегда будете иметь соответствующие патчи. Этот модуль, который не требует никаких дополнительных внедрений, не только предоставляет патчи и обновления для операционных систем, но также исправляет и обновляет сотни сторонних приложений. Он также позволяет:

  • Обнаруживать, планировать, устанавливать и осуществлять мониторинг. Обеспечивает видимость работоспособности конечных устройств в режиме реального времени в отношении уязвимостей, ожидающих обновлений, или патчей, а также программного обеспечения с окончившейся поддержкой разработчика (EoL)
  • Выполнять аудит и мониторинг, расставлять приоритеты среди обновлений для операционных систем и приложений. Модуль позволяет в режиме реального времени видеть состояние ожидающих применения патчей и обновлений для операционной системы и сторонних приложений
  • Предотвращать инциденты, систематически сокращая поверхность атаки, создаваемой уязвимостями. Управление патчами и обновлениями позволяет вам опередить использование уязвимостей
  • Сдерживать и смягчать атаки, мгновенно применяя патчи на одну или множество конечных устройств. Веб-консоль управления соотносит обнаружение с уязвимостями, минимизируя время реагирования, сдерживания и исправления

Сейчас более чем когда-либо необходимо обеспечить такую защиту больниц, чтобы они не сталкивались с какими-либо дополнительными проблемами. По этой причине крайне важно защитить их ИТ-системы.