Больницы Шотландии атаковал вымогатель Bit Paymer

Больницы Шотландии атаковал вымогатель Bit Paymer

Больницы Шотландии атаковал вымогатель Bit Paymer

В конце прошлой недели несколько больниц, являющихся частью Национальной службы здравоохранения в Ланаркшире, были атакованы шифровальщиком Bit Paymer. От атак пострадали больница Хэрмирс на востоке Килбрайда, больница Монклендс в Эйрдри, а также многопрофильный госпиталь Уишо. Эти медицинские учреждения обсуживают более 650 000 жителей северного и южного Ланаркшира.

Официальные представители Национальной службы здравоохранения уже подтвердили факт атаки и сообщили, что 28 августа 2017 года ситуацию удалось взять под контроль, хотя из-за случившегося медицинские учреждения были вынуждены отменить ряд запланированных приемов и процедур, пишет xakep.ru.

Журналисты издания Bleeping Computer пишут, что еще один известный ИБ-специалист, MalwareHunter, сообщил им в ходе приватной беседы, что другие образцы Bit Paymer также были обнаружены на VirusTotal еще в июне 2017 года, и перед инцидентом в Ланаркшире злоумышленники могли атаковать и другие цели, ведь группа активна уже несколько месяцев.

Эксперт компании Emsisoft, известный под псевдонимом xXToffeeXx, уверен, что вымогатель распространяется через RDP-брутфорс. Скомпрометировав одну систему, атакующие вручную проникают в сеть пострадавшей организации и последовательно устанавливают Bit Paymer на все доступные устройства. Похожий метод распространения используют вымогатели RSAUtil, Xpan, Crysis, Samas (SamSam), LowLevel, DMA Locker, Apocalypse, Smrss32, Bucbi, Aura/BandarChor, ACCDFISA, Globe.

Согласно данным Гиллеспи, малварь написана опытными разработчиками. Вредонос шифрует файлы, используя комбинацию алгоритмов RC4 и RSA-1024 и изменяет расширения файлов на .locked. В настоящее время нет возможности расшифровать пострадавшие данные.

Вымогательское послание неизвестных злоумышленников гласит, что для получения дальнейших инструкций жертвы должны посетить .onion-сайт. Там пострадавшим сообщают, что они должны перечислить преступникам 53 биткоина, то есть примерно 230 000 долларов США по текущему курсу. xXToffeeXx пишет, что в других случаях злоумышленники требовали у своих жертв лишь 20 биткоинов, то есть группировка изменяет размер выкупа, в зависимости от того, кто является целью.

«Интересно, что Bitpaymer намеренно атакует не просто компании, но весьма крупные компании. Это отличает данную кампанию от других RDP-вымогателей. Напоминает мне SamSam», — говорит xXToffeeXx.

ИБ-эксперты отмечают, что не стоит путать Bit Paymer с другим похожим вымогателем, Defray, подробный отчет о котором на прошлой неделе обнародовали аналитики компании Proofpoint. Defray тоже атакует компании и предприятия, но распространяется посредством почтового спама, а не через таргетированные RDP-атаки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Kaspersky Container Security 2.1 научилась проверять ноды оркестраторов

«Лаборатория Касперского» выпустила обновление для своего решения Kaspersky Container Security (версия 2.1). Теперь оно умеет проверять не только контейнеры, но и ноды оркестраторов — то есть хосты, на которых они работают.

Оркестраторы вроде Kubernetes управляют контейнерными приложениями, а их кластеры состоят из нод с собственной ОС.

Как и любая операционная система, они могут содержать уязвимости. Новая функция позволяет сканировать такие узлы, фиксировать найденные дыры и подозрительные процессы, а также вести постоянный мониторинг с помощью встроенного антивирусного модуля. При этом проверка запускается вручную, чтобы не нагружать систему.

В интерфейсе теперь отображаются детали по каждой ноде: версия ОС, дата последнего сканирования, количество и критичность уязвимостей, история запусков потенциально опасных процессов.

Обновление также расширило список поддерживаемых инструментов и платформ. В него вошли, в частности, интеграция с Google Cloud Platform, российскими системами оркестрации Deckhouse и «Штурвал», а также поддержка RedOS для работы нод.

Появилась возможность передавать данные о событиях через вебхуки. Это значит, что система сможет отправлять информацию в любые внешние сервисы, например в средства мониторинга или оповещения, даже если их интеграция напрямую пока не реализована.

Кроме того, компании теперь могут использовать не только встроенные базы угроз, но и подключать свои собственные через API. Это позволит проверять события сразу по нескольким источникам.

Таким образом, продукт получил новые инструменты для мониторинга и анализа контейнерных сред — в том числе на уровне узлов, которые раньше оставались за кадром.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru