2018: Выкуп в $55 тыс. кибервымогателям
В начале января 2018 года клиника Hancock Health в американском городе Гринфилде, Индиана, подверглась хакерской атаке с помощью вируса-шифровальщика SamSam, который парализовал работу медучреждения в самый разгар эпидемии гриппа в штате. Чтобы быстрее восстановить данные, руководство больницы заплатило вымогателям выкуп в размере 4 биткоинов, что на момент выплаты составило порядка $55 тыс.
Шифровальщик проник в компьютерную сеть Hancock Health 11 января 2018 года и заблокировал файловую систему клиники, требуя выкуп за дешифровку, передает Bleeping Computer. Все файлы, располагавшиеся в сетях больницы, были зашифрованы и переименованы в словосочетание "I'm Sorry" ("Мне жаль", или "прошу прощения"). ИТ-сотрудники больницы сразу же занялись инцидентом и распорядились выключить все компьютеры медучреждения, чтобы не допустить дальнейшего распространения инфекции по сети. В результате персонал был вынужден вносить данные в медкарты пациентов по старинке — с помощью бумаги и шариковых ручек.[1]
Как сообщил изданию The Register глава клиники Стив Лонг (Steve Long), инцидент совпал по времени с ухудшением погоды — в регионе бушевали метели, и разгаром заболеваемости гриппом, поэтому было крайне важно как можно скорее восстановить данные. Руководство Hancock Health сообщило о происшествии в отдел ФБР по борьбе с киберпреступностью и обратилось к сторонним ИТ-специалистам, чтобы справится с последствиями атаки, но оперативно сделать это не удалось, несмотря на то, что в больнице имелась система резервного копирования.
В итоге, когда стало понятно, что на восстановление данных с помощью резервных копий уйдут дни или даже недели, было решено перечислить хакерам требуемую сумму, что и сделали 12 января 2018 года.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
Злоумышленники сдержали обещание и после получения денег выслали больнице ключи для дешифровки файлов. По состоянию на понедельник, 15 января, все компьютерные системы больницы были восстановлены, и клиника вернулась в нормальный режим работы.[2]
Каким именно образом злоумышленники проникли в сеть больницы, остаётся неизвестным. Ранее распространители SamSam использовали атаки через протокол RDP, но в таких случаях преступники точно знали, кого взламывают и зачем. Не исключено, что и в этот раз атака была узконаправленной — ещё в 2016 году эксперты говорили, что больницы — это "идеальная мишень" для шифровальщиков-вымогателей.[3] Причин на то несколько: во-первых, огромная ответственность (и, как следствие, повышенная готовность идти на поводу у преступников, только бы возобновить нормальное функционирование), во-вторых, персонал больниц часто просто не знает, как себя вести при кибератаках. Наконец, в больницах — огромное количество специализированного оборудования, подключённого к Сети, но зачастую беззащитного перед хакерскими атаками, хотя от него нередко зависят человеческие жизни.
Решение больницы можно понять только в неквалифицированном хеджировании рисков. При наличии всех резервных копий необходимо восстанавливать данные и закрывать уязвимости, которые привели к потере конфиденциальности и доступности, — считает Георгий Лагода, генеральный директор компании SEC Consult Services. — Каждый раз, когда кибервымогатели получают деньги, они лишний раз убеждаются в том, что заняты весьма доходным и безопасным бизнесом. К тому же, во многих случаях последствия "работы" шифровальщиков оказываются необратимыми, то есть восстановить данные невозможно, вне зависимости от того, выплачен выкуп или нет. |