Шифровальщики в медицине: в чём опасность и как защищаться?

Шифровальщики в медицине: в чём опасность и как защищаться?

Шифровальщики и другие программы класса «ransomware» ежедневно атакуют организации по всему миру. Киберпреступников интересуют в том числе и медицинские учреждения. Как шифровальщики попадают в систему? Как предотвратить заражение? Нужно ли платить организаторам атаки? Обсудим истоки проблемы, ущерб, который может быть нанесён, а также методы противодействия.

 

 

 

 

 

  1. Введение
  2. Шифруем данные: гарантия, анонимность
  3. Чем происходящее опасно для медиков?
  4. Пути проникновения в систему
    1. 4.1. Заражение через внешние службы удалённого доступа
    2. 4.2. Атаки «drive-by»
    3. 4.3. Фишинговые рассылки через электронную почту
  5. Громкие атаки на медучреждения с использованием шифровальщиков
    1. 5.1. Прогнозы на будущее
  6. Как защититься?
    1. 6.1. Платить или не платить?
    2. 6.2. Локализация и ликвидация заражений
      1. 6.2.1. Изоляция
      2. 6.2.2. Расследование и восстановление
      3. 6.2.3. Последующие работы
  7. Выводы

Введение

В 2020 году популярность вирусов-вымогателей взлетела до недостижимых прежде высот и сегодня продолжает бить рекорды. Программы этого типа, попадая в компьютер, шифруют все данные и требуют выкуп за доступ к заблокированной информации. Эксперты Check Point Research (CPR) подсчитали, что за первые четыре месяца нынешнего года с вирусами-вымогателями столкнулось на 102 % больше компаний, чем за аналогичный период прошлого года. Основная цель атакующих — компьютеры работающих удалённо сотрудников крупных компаний, потому что это позволяет получать доступ в корпоративные сети.

Злоумышленники сместили фокус атак с индивидуальных пользователей на крупные организации, в том числе — на государственные и медицинские учреждения. В топ-5 наиболее атакуемых отраслей входят производство, ретейл, государственные учреждения, здравоохранение, строительство. По данным CPR, чаще всего с хакерами-вымогателями сталкиваются в сфере здравоохранения: в среднем за неделю происходит 109 атак на одну организацию (см. рис. 1).

 

Рисунок 1. Количество атак хакеров-вымогателей в мире за неделю, 2021 г.

Количество атак хакеров-вымогателей в мире за неделю, 2021 г.

 

Статистика Positive Technologies гласит, что в большинстве случаев при атаках на крупные организации предметами интереса злоумышленников становятся персональные данные, коммерческая тайна и учётные записи, позволяющие получить расширенный доступ к системам организации (рис. 2).

По оценкам Group-IB, в 2020 году минимальный ущерб от атак с применением вирусов-шифровальщиков превысил миллиард долларов. Реальных цифр не знает никто — многие организации предпочитают не предавать огласке факт компрометации системы.

 

Рисунок 2. Какие данные интересны хакерам-вымогателям

Какие данные интересны хакерам-вымогателям

 

Шифруем данные: гарантия, анонимность

В современных программах-вымогателях злоумышленники используют гибридное шифрование, совмещая высокие скорости симметричных систем и преимущества ключей ассиметричных алгоритмов, когда для расшифровки данных необходим ключ, которым владеет только злоумышленник. Если владелец отказывается платить выкуп за доступ к своей информации, злоумышленники обычно выставляют данные на продажу.

Шифровальщики — понятный и прибыльный для хакеров инструмент, поэтому стоит ожидать дальнейшего развития этого направления и усложнения атак. Вокруг этой темы уже вырос большой рынок. «Энтузиасты» предлагают готовые решения, услуги разработчиков, а также продажу доступов в корпоративные сети компаний и корпораций. Так, хакерская группировка DarkSide в течение многих месяцев сдавала в аренду вирусы-вымогатели для атак на промышленные предприятия, государственные и медицинские учреждения и заработала миллионы.

Чем происходящее опасно для медиков?

Медучреждения занимают первое место по числу совершаемых против них атак с применением шифровальщиков. Количество инцидентов в этой сфере, по оценкам аналитиков, продолжает стремительно расти. Почему так происходит? Большинство медицинских организаций не имеет надёжной защиты, не стремится предавать огласке инциденты в области утечек, но вместе с тем осознаёт опасность отсутствия доступа к данным в течение продолжительного периода и нередко платит преступникам.

Всё это вкупе с понятной и действенной схемой реализации атак открывает хакерам неплохие перспективы. Получив доступ к данным в корпоративной сети медучреждения, атакующие могут реализовать несколько вредоносных сценариев. Вот основные из них:

  1. блокирование нормальной деятельности медицинских систем, которое может привести к простою в работе, угрожать репутации организации, а также, что самое страшное, непосредственно повлиять на здоровье и жизни людей;
  2. блокирование данных и их копирование с целью дальнейшего шантажа; иногда после получения выкупа хакеры не останавливаются и через некоторое время переходят к угрозам выложить данные в публичный доступ, что может обернуться серьёзным ударом по репутации.

Пути проникновения в систему

Есть три основных способа первичной компрометации сети с помощью вируса-шифровальщика, с которых начинаются атаки.

Заражение через внешние службы удалённого доступа

Технологии удалённой работы и обучения используются сегодня повсеместно в связи с пандемией. При этом большинство организаций не в состоянии быстро внедрять решения для безопасной удалённой работы сотрудников вне офисов, а одна только уязвимость протокола удалённого рабочего стола (RDP) позволяет злоумышленникам получать административный доступ и, например, использовать те же вирусы-шифровальщики на компьютере жертвы.

Процесс атаки с использованием внешних служб удалённого доступа, как правило, реализуется следующим образом:

  1. Сканирование открытых RDP-портов.
  2. Вход в систему: злоумышленник может попытаться получить доступ физически или воспользоваться данными для авторизации, предлагаемыми на рынке соответствующих услуг.
  3. Отключение системы безопасности: в зависимости от уровня доступа злоумышленник нацелен на отключение максимального количества средств защиты на компьютере жертвы.
  4. Осуществление вредоносной деятельности: злоумышленник устанавливает вредоносные программы, использует заражённые машины для последующей атаки по сети, осуществляет кражу данных и др.
  5. Требование выкупа в случае установки вируса-шифровальщика.

Атаки «drive-by»

Метод «drive-by download», или скрытой загрузки, актуален в тех случаях, когда пользователь посещает сайт с вредоносными скриптами в HTTP- или PHP-коде, внедрёнными злоумышленниками вследствие взлома. Также подобная атака может быть реализована при попытках открытия заражённых HTML-сообщений, полученных иным путём. Скрипт способен установить вредоносный код — в том числе вирус-шифровальщик — напрямую на компьютер пользователя.

Для распространения такой атаки злоумышленники могут использовать, например, механизм автоматической установки элементов управления Internet Explorer — ActiveX. В медицинских учреждениях часто встречается устаревшее программное обеспечение, поэтому угроза вполне реальна. Последующая активация вредоносной нагрузки произойдёт в автоматизированном режиме без потребности в каких-то особых действиях со стороны пользователя. Стоит отметить, что для реализации атак типа «drive-by» используются обычные («законные») сайты, предварительно взломанные злоумышленником.

Как правило, атака производится за счёт встроенных в плавающие фреймы ссылок на взломанных веб-ресурсах. Злоумышленники размещают вредоносные скрипты во фреймах веб-страниц, которые могут показаться пользователю достойными доверия.

Другим распространённым способом реализации данного типа атаки является помещение скрипта загрузки стороннего ПО во всплывающие окна. Последние могут представлять собой рекламу или другую активную часть веб-ресурса, причём даже попытка закрытия всплывающего окна может привести к запуску скрипта злоумышленника.

Фишинговые рассылки через электронную почту

Основным каналом распространения шифровальщиков была и остаётся электронная почта. Злоумышленник маскирует письма с вредоносным кодом под обычную рабочую переписку: уведомления из налоговой инспекции, информацию о найме сотрудников и т. д.

Обычная схема выглядит так: злоумышленник отправляет короткое письмо от имени сотрудника компании, партнёра, заказчика и т. п., в тексте указывается минимум подробностей, прикрепляется вложение или URL для перехода в облачное хранилище документов. Также для «достоверности» злоумышленник может добавить отметку имитирующую сведения о проверке письма средствами защиты.

Несмотря на то что такие письма похожи на настоящие, в них обычно несложно распознать фишинговое послание. Если присмотреться, можно увидеть, что адрес отправителя не соответствует подписи и домен отличается от официального.

Громкие атаки на медучреждения с использованием шифровальщиков

Итак, чего конкретно ждать от шифровальщиков, к чему может привести реализация атаки с использованием подобных программ? Назовём некоторые из самых масштабных случаев.

Один из громких кейсов прошлого года, хорошо иллюстрирующий масштаб, — атака вымогателя Ryuk на организацию Universal Health Services (UHS), в состав которой входит 400 медучреждений в США, Великобритании и других странах. Атака затронула не все больницы и клиники, но многие. Компьютеры пользователей не загружались, на некоторых появлялось требование о выкупе. Затронута была и телефонная сеть. Какое-то время медучреждения работали без ИТ-сервисов, а некоторых пациентов пришлось перенаправить в другие больницы.

В марте этого года UHS опубликовала отчёт, где сообщила, что эта атака обошлась ей в 67 млн долларов США. Сюда включены расходы на восстановление данных из бэкапов, упущенная прибыль из-за простоя и снижения потока пациентов и так далее.

А вот инцидент в Ascend Clinical — компании специализирующейся на анализах для пациентов, которые страдают хронической болезнью почек — привёл к утечке данных свыше 77 тысяч больных. Причина заражения: один из сотрудников «неудачно» перешёл по ссылке из фишингового письма. Проникнув в систему, злоумышленники добрались в том числе до персональных данных пациентов — имён, дат рождения и номеров соцстрахования.

Интересно, что при атаках на здравоохранение злоумышленники часто предпочитают шифровать и воровать данные именно с серверов, а не с рабочих станций — как это случилось с серверами Florida Orthopaedic Institute, когда злоумышленники зашифровали (предварительно похитив) данные 640 тысяч пациентов. Впоследствии институт столкнулся с весьма неприятным иском от компании представляющей интересы пострадавших пациентов.

 

Рисунок 3. Распределение атак хакеров-вымогателей по странам

Распределение атак хакеров-вымогателей по странам

 

Прогнозы на будущее

На основе статистики можно с уверенностью сказать, что рост количества площадок для торговли данными по доступу к корпоративным сетям продолжится, что, в свою очередь, повысит число атак на крупные организации.

Не стоит ожидать снижения количества атак на почтовые сервисы с применением шифровальщиков: возможно хищение данных из локальных почтовых сервисов или выведение почтовой системы из строя.

Также стоит отметить нарастающую в России популярность фишинговых партнёрских программ и использование одноразовых ссылок на веб-фишинг через почтовые сервисы.

Как защититься?

Рассмотрим основные пути защиты компьютеров и сети организации от вирусов-шифровальщиков. Действовать нужно проактивно. Прежде всего необходимо внедрить способы, методы, программные решения, позволяющие проводить мониторинг, собирать и анализировать индикаторы компрометации. С учётом быстрого развития методов атак с использованием вирусов-шифровальщиков необходимо также уделять внимание обновлению инструментов мониторинга и обучению персонала.

Приведём основные рекомендации по техническому оснащению инфраструктуры организаций для предотвращения атак:

  1. Рассмотреть возможность использования решений типа Threat Intelligence для выявления возможных угроз и подозрительной активности до возникновения инцидента. Платформы Threat Intelligence предоставляют возможность сбора информации об угрозах, их классификации, а также выполнения действий направленных на последующий анализ и выгрузку данных в средства защиты и SIEM-системы в режиме реального времени. Рынок российских решений данного класса находится на стадии развития и представлен такими продуктами, как Group-IB Threat Intelligence, Kaspersky Threat Intelligence, Positive Technologies Cybersecurity Intelligence, R-Vision Threat Intelligence.
  2. Внедрить в организации практику по применению решений класса Malware Detonation Platform, которые эмулируют исполнение кода подозрительного программного обеспечения в изолированной среде для анализа действий. В России соответствующий сегмент рынка представлен такими решениями, как Group-IB Threat Hunting Framework / Polygon, Kaspersky Anti Targeted Attack (KATA), PT Sandbox.
  3. Обратить внимание на резервное копирование данных в организации. Резервирование должно производиться на постоянной основе, ему должны подлежать все критически важные данные. Копии следует хранить отдельно от основной среды, чтобы злоумышленники не могли получить к ним доступ даже в случае компрометации корпоративной сети. Для защиты файлов на конечных устройствах пользователей пригодится резервное копирование в облачные хранилища.
  4. Для постоянного поддержания уровня защищённости в сети необходимо развернуть систему безопасности, которая осуществляла бы круглосуточный мониторинг событий по информационной безопасности. Для каждого инцидента должны устанавливаться сложность и значимость для быстрого реагирования и анализа. Также стоит подготовить второй уровень реагирования на инциденты: в крупных компаниях возможна подготовка команды и высококвалифицированных специалистов, а в более мелких организациях — использование услуг сторонних ИТ-компаний (например, MSSP — провайдеров по решению задач информационной безопасности).
  5. Фишинг и социальная инженерия — в числе главных векторов компрометации, поэтому специалистам по информационной безопасности стоит уделять внимание не только техническим средствам защиты, но и рядовым сотрудникам организации. Необходимо актуализировать организационные документы в части информационной безопасности, проводить обучение по ним, а также осуществлять внеплановый контроль исполнения документов и политик — не только по угрозам фишинга, но и по всем аспектам безопасности при работе с сетью.
  6. Для достижения необходимого и постоянного уровня защищённости в организации необходимо регулярно проводить аудит безопасности, проверку специалистов и внутренних процессов. Следует разработать систему внутренних проверок, а также включить возможность привлечения третьей независимой стороны. Помимо аудита документации и настроек сети стоит проводить проверки имитирующие действия злоумышленников (испытания на проникновение) для выявления слабых мест в выстроенной системе безопасности.
  7. Если организация имеет в своём распоряжении крупную распределённую сеть, то необходимо развернуть SIEM-систему для аккумуляции информации о безопасности сети со всех средств защиты для быстрого анализа и реагирования. На российском рынке представлены такие решения, как MaxPatrol SIEM, RuSIEM, КОМРАД, SearchInform SIEM.
  8. Для обеспечения высокого уровня защиты данных внутри корпоративной сети необходимо сегментировать последнюю и установить межсетевые экраны, например используя такие решения, как Threat Detection System от Group-IB, PT Network Attack Discovery от Positive Technologies, межсетевой экран UserGate, Kaspersky Industrial CyberSecurity, ViPNet IDS и ViPNet xFirewall от компании «ИнфоТеКС», АПКШ «Континент» от компании «Код Безопасности».
  9. Атаки с использованием вирусов-шифровальщиков в большинстве случаев начинаются с конечных точек, где необходимо установить надёжные средства антивирусной защиты. Такие средства должны быть установлены на все устройства, которые имеют доступ как в корпоративную сеть организации, так и в интернет. Примером отечественного продукта такого рода может быть Kaspersky Endpoint Security.

Платить или не платить?

Здесь всё индивидуально, каждая организация решает сама и универсальных советов быть не может. В большинстве случаев восстановление доступа к похищенным или зашифрованным данным невозможно без ключа или декриптора, находящихся в руках злоумышленника, даже если применяется слабая криптография. Конечно, возможны и ошибки разработчиков вредоносных программ, однако это крайне редко приводит к дешифровке данных.

Также стоит обратить внимание на нежелание организаций афишировать факты компрометации системы и потери значимых данных. В таком случае предпочтение отдаётся варианту выкупа данных у злоумышленника.

О чём стоит помнить, когда вы платите злоумышленникам:

  1. При такой сделке нет никакой гарантии, что после перевода денег злоумышленник действительно предоставит декриптор для расшифровывания информации.
  2. В случае удачного расшифровывания данных предоставленным декриптором организация возвращает критически важную информацию и может восстановить работу, однако копия базы всё ещё может быть у злоумышленника. Тогда могут последовать продолжительные требования материального вознаграждения за нераспространение этих данных или информации о самом факте компрометации.
  3. Как правило, если злоумышленник смог успешно проникнуть в сеть и запустить вирус-шифровальщик, то это говорит о недостаточной защищённости системы. В таком случае нет гарантий, что злоумышленник не получил доступа к другим ресурсам или базам данных организации, что может привести к повторным атакам или вымогательству.
  4. Также в случае быстрого принятия решения о выплате выкупа у злоумышленника появляется мотивация для повторения мошенничества в сторону данной организации для получения лёгкого заработка.

Таким образом, в случае компрометации ресурсов в первую очередь стоит сконцентрироваться на предотвращении распространения шифровальщика по сети.

Локализация и ликвидация заражений

Как восстанавливаться после атаки? К сожалению, далеко не всегда удаётся обеспечить надлежащий уровень безопасности корпоративных сетей и сервисов организаций, в том числе по причине постоянного развития инструментария злоумышленников и из-за человеческого фактора. В таком случае встаёт вопрос о плане по устранению последствий инцидентов.

Изоляция

В случае обнаружения активности вируса-шифровальщика в корпоративной сети необходимо определить зону заражения, поскольку степень распространения на момент первого появления признаков неизвестна. Нужно изолировать все заражённые компьютеры и сегменты, чтобы вирус не распространялся на другие части сети.

Если сеть предприятия — небольшая и нераспределённая, то данную зону можно определить по логам антивируса, оповещениям от EDR и брандмауэров. В случае больших организаций стоит перед этим провести анализ логов от SIEM-систем.

Отсечение заражённых узлов от сети возможно по сетевому кабелю, через отключение сетевого интерфейса или порта на коммутаторе. Необходимо блокировать межсегментный трафик, исключая необходимые и незаражённые узлы внутри сети, с помощью межсетевых экранов и списков контроля доступа (ACL-листов) на коммутаторах.

На этапе локализации также стоит озаботиться сохранностью улик для последующего анализа путей распространения шифровальщика: следует обратить внимание на сохранность логов и других следов действия вируса на заражённых компьютерах. Также после локализации инцидента необходимо снять образы дисков и сохранить дампы памяти для последующего расследования.

Расследование и восстановление

После локализации инцидента и обеспечения работы незаражённой части сети в штатном режиме необходимо провести анализ действий шифровальщика: определить пути распространения и причины появления. В большинстве случаев источник вируса-шифровальщика — это другие вредоносные программы из семейства троянов, например дроппер, RAT, загрузчик и др. Необходимо найти первичную причину возникновения инцидента, локализовать её и начать процедуры по удалению стороннего программного обеспечения. Также стоит обратить внимание на причины отсутствия блокировки вируса на конечном компьютере.

По итогу анализа путей и причин возникновения шифровальщика необходимо:

  1. Уничтожить вредоносный код на всех единицах техники в корпоративной сети.
  2. Выявить уязвимость системы, послужившую причиной возникновения инцидента, и закрыть её через установку средств защиты или изменение настроек.
  3. Провести обучающие беседы с сотрудниками организации для предотвращения повторного возникновения угрозы.
  4. Установить все обновления для средств защиты и антивирусных баз.

Последующие работы

После устранения как самой угрозы, так и уязвимости, которая привела к её появлению, возможно введение ранее заражённых машин в общую сеть организации. Если нет необходимости сохранять данные на машинах для последующего анализа и расследования, то по возможности стоит отформатировать компьютеры и восстановить на них данные из резервных копий, сделанных ранее.

Для восстановления последних данных (или всей информации в случае отсутствия системы резервирования) возможно прибегнуть к помощи компаний предоставляющих услуги в сфере кибербезопасности или же попытаться найти открытый декриптор (например, на сайте проекта No More Ransom) для определённого вида шифровальщика.

Также стоит принять решение о том, раскрывать ли информацию об инциденте сотрудникам и акционерам, а также публике через СМИ. Обнародование информации о компрометации сети и возможной утечке данных может привести к репутационным рискам. Вместе с тем, появление данной информации в сети без участия организации может привести к ещё большим потерям.

Выводы

Всем компаниям, которые сталкиваются с действиями киберпреступников (и особенно когда речь идёт о шифровальщиках), необходимо помнить о том, что количество инцидентов будет расти, атаки будут повторяться, если не противостоять хакерам. Необходимо приложить максимум усилий к защищённости своих ресурсов, а также к созданию мощного информационного поля, которое поможет другим организациям. Ведь каждый обнародованный и тщательно изученный инцидент позволяет специалистам по ИБ улучшать стратегию защиты. Когда мы начнём противостоять злоумышленникам единым фронтом, хакерам станет намного сложнее атаковать, их инструменты перестанут работать, стоимость атак возрастёт. В первую очередь следует обеспечить надёжную защиту в медицинской сфере, где под ударом оказываются не только и не столько информационные ресурсы, сколько человеческие жизни.

Особенно важно вести такую работу по противостоянию кибератакам в России, поскольку в нашей стране не развита система страхования рисков для ИБ и отсутствует судебная практика по инцидентам с программами-вымогателями.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru