Больницы Шотландии атаковал вымогатель Bit Paymer

Александр Панасенко 30 Августа 2017 - 22:30

...

Больницы Шотландии атаковал вымогатель Bit Paymer

В конце прошлой недели несколько больниц, являющихся частью Национальной службы здравоохранения в Ланаркшире, были атакованы шифровальщиком Bit Paymer. От атак пострадали больница Хэрмирс на востоке Килбрайда, больница Монклендс в Эйрдри, а также многопрофильный госпиталь Уишо. Эти медицинские учреждения обсуживают более 650 000 жителей северного и южного Ланаркшира.

Официальные представители Национальной службы здравоохранения уже подтвердили факт атаки и сообщили, что 28 августа 2017 года ситуацию удалось взять под контроль, хотя из-за случившегося медицинские учреждения были вынуждены отменить ряд запланированных приемов и процедур, пишет xakep.ru.

Журналисты издания Bleeping Computer пишут, что еще один известный ИБ-специалист, MalwareHunter, сообщил им в ходе приватной беседы, что другие образцы Bit Paymer также были обнаружены на VirusTotal еще в июне 2017 года, и перед инцидентом в Ланаркшире злоумышленники могли атаковать и другие цели, ведь группа активна уже несколько месяцев.

Эксперт компании Emsisoft, известный под псевдонимом xXToffeeXx, уверен, что вымогатель распространяется через RDP-брутфорс. Скомпрометировав одну систему, атакующие вручную проникают в сеть пострадавшей организации и последовательно устанавливают Bit Paymer на все доступные устройства. Похожий метод распространения используют вымогатели RSAUtil, Xpan, Crysis, Samas (SamSam), LowLevel, DMA Locker, Apocalypse, Smrss32, Bucbi, Aura/BandarChor, ACCDFISA, Globe.

Согласно данным Гиллеспи, малварь написана опытными разработчиками. Вредонос шифрует файлы, используя комбинацию алгоритмов RC4 и RSA-1024 и изменяет расширения файлов на .locked. В настоящее время нет возможности расшифровать пострадавшие данные.

Вымогательское послание неизвестных злоумышленников гласит, что для получения дальнейших инструкций жертвы должны посетить .onion-сайт. Там пострадавшим сообщают, что они должны перечислить преступникам 53 биткоина, то есть примерно 230 000 долларов США по текущему курсу. xXToffeeXx пишет, что в других случаях злоумышленники требовали у своих жертв лишь 20 биткоинов, то есть группировка изменяет размер выкупа, в зависимости от того, кто является целью.

«Интересно, что Bitpaymer намеренно атакует не просто компании, но весьма крупные компании. Это отличает данную кампанию от других RDP-вымогателей. Напоминает мне SamSam», — говорит xXToffeeXx.

ИБ-эксперты отмечают, что не стоит путать Bit Paymer с другим похожим вымогателем, Defray, подробный отчет о котором на прошлой неделе обнародовали аналитики компании Proofpoint. Defray тоже атакует компании и предприятия, но распространяется посредством почтового спама, а не через таргетированные RDP-атаки.

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Мая 2026 - 17:01

Хактивизм Целевые атаки Таргетированные атаки Корпорации Государство Positive Technologies

Доля атак на промышленность в России выросла до 19%

Positive Technologies представила на ЦИПР-2026 исследование по киберугрозам в промышленности. По данным компании, за последние два года именно этот сектор оказался в центре внимания злоумышленников: на промышленность пришлось 16% киберинцидентов в России в 2024 году и уже 19% — в 2025-м.

С 2024 года интенсивность атак на промышленные предприятия заметно выросла по сравнению с другими отраслями. Сектор вышел на первое место по числу кибератак, и эта тенденция сохраняется в 2026 году.

Особенно быстро растёт доля атак с использованием вредоносных программ. Если в 2024 году они применялись в 56% случаев, то в 2025-м — уже в 83%. Причём более чем в половине таких атак использовались инструменты удалённого управления. Это может говорить о том, что злоумышленников интересует не быстрый налёт, а длительное скрытое присутствие в инфраструктуре.

Всего за рассматриваемый период российские промышленные компании атаковали 55 группировок. Самыми активными оказались кибершпионские группы — на них пришлось 47% атак. Хактивисты участвовали в 28% инцидентов, финансово мотивированные злоумышленники — в 25%. Чаще всего под удар попадали предприятия энергетики и ТЭК.

Основными методами атак остаются вредоносные программы и социальная инженерия. При этом в России, в отличие от других стран, на первом плане оказались не шифровальщики, а инструменты удалённого управления и шпионские программы.

Рост активности связан и с развитием теневого рынка. По оценке Positive Technologies, медианная цена инфостилера составляет около 400 долларов, вредоносной программы для удалённого управления — 1500 долларов, шифровальщика — 7500 долларов. Там же продаются инструкции по проведению атак, а данные промышленных компаний нередко просто раздают бесплатно.

Последствия таких инцидентов выходят далеко за рамки ИТ-отдела. Нарушение основной деятельности предприятий фиксировалось в 33% случаев. Для промышленности это может означать остановку производства, сбои в поставках, проблемы с энергоснабжением, логистикой или выпуском критически важных товаров.

Самая опасная часть таких атак — проникновение в операционно-технологический сегмент. Если злоумышленник добирается до систем, которые управляют производственными процессами, последствия могут быть уже не только финансовыми.

Главный вывод исследования: промышленность стала одной из самых привлекательных целей для киберпреступников. И защищать её только классическими ИТ-инструментами уже недостаточно — слишком много специфики, старых систем, технологических протоколов и процессов, которые нельзя просто остановить ради обновления.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!