Больницы Шотландии атаковал вымогатель Bit Paymer

Александр Панасенко 30 Августа 2017 - 22:30

...

Больницы Шотландии атаковал вымогатель Bit Paymer

В конце прошлой недели несколько больниц, являющихся частью Национальной службы здравоохранения в Ланаркшире, были атакованы шифровальщиком Bit Paymer. От атак пострадали больница Хэрмирс на востоке Килбрайда, больница Монклендс в Эйрдри, а также многопрофильный госпиталь Уишо. Эти медицинские учреждения обсуживают более 650 000 жителей северного и южного Ланаркшира.

Официальные представители Национальной службы здравоохранения уже подтвердили факт атаки и сообщили, что 28 августа 2017 года ситуацию удалось взять под контроль, хотя из-за случившегося медицинские учреждения были вынуждены отменить ряд запланированных приемов и процедур, пишет xakep.ru.

Журналисты издания Bleeping Computer пишут, что еще один известный ИБ-специалист, MalwareHunter, сообщил им в ходе приватной беседы, что другие образцы Bit Paymer также были обнаружены на VirusTotal еще в июне 2017 года, и перед инцидентом в Ланаркшире злоумышленники могли атаковать и другие цели, ведь группа активна уже несколько месяцев.

Эксперт компании Emsisoft, известный под псевдонимом xXToffeeXx, уверен, что вымогатель распространяется через RDP-брутфорс. Скомпрометировав одну систему, атакующие вручную проникают в сеть пострадавшей организации и последовательно устанавливают Bit Paymer на все доступные устройства. Похожий метод распространения используют вымогатели RSAUtil, Xpan, Crysis, Samas (SamSam), LowLevel, DMA Locker, Apocalypse, Smrss32, Bucbi, Aura/BandarChor, ACCDFISA, Globe.

Согласно данным Гиллеспи, малварь написана опытными разработчиками. Вредонос шифрует файлы, используя комбинацию алгоритмов RC4 и RSA-1024 и изменяет расширения файлов на .locked. В настоящее время нет возможности расшифровать пострадавшие данные.

Вымогательское послание неизвестных злоумышленников гласит, что для получения дальнейших инструкций жертвы должны посетить .onion-сайт. Там пострадавшим сообщают, что они должны перечислить преступникам 53 биткоина, то есть примерно 230 000 долларов США по текущему курсу. xXToffeeXx пишет, что в других случаях злоумышленники требовали у своих жертв лишь 20 биткоинов, то есть группировка изменяет размер выкупа, в зависимости от того, кто является целью.

«Интересно, что Bitpaymer намеренно атакует не просто компании, но весьма крупные компании. Это отличает данную кампанию от других RDP-вымогателей. Напоминает мне SamSam», — говорит xXToffeeXx.

ИБ-эксперты отмечают, что не стоит путать Bit Paymer с другим похожим вымогателем, Defray, подробный отчет о котором на прошлой неделе обнародовали аналитики компании Proofpoint. Defray тоже атакует компании и предприятия, но распространяется посредством почтового спама, а не через таргетированные RDP-атаки.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Яков Шпунт 13 Мая 2026 - 17:33

Соответствие законодательству РФ Общее

В России начали ограничивать продажи подавителей сигнала GPS

Перовский суд Москвы по заявлению межрайонной прокуратуры запретил продажу устройств для подавления сигнала GPS на маркетплейсах. Заявление было удовлетворено, и после вступления решения в законную силу объявления о продаже таких устройств будет запрещено размещать на любых площадках.

Эти устройства способны подавлять сигнал не только GPS, но и других систем спутникового позиционирования, включая российскую ГЛОНАСС. Кроме того, они создают помехи, которые могут мешать работе мобильной связи.

Основными покупателями таких устройств считаются водители, особенно дальнобойщики. Они используют «глушилки», чтобы избежать платежей по системе «Платон».

«GPS-глушилки привлекают водителей перспективой избежать платежей по системе «Платон» и контроля со стороны надзорных органов. Популярность этих устройств объясняется их доступностью — их можно приобрести даже в интернет-магазинах — и относительной простотой применения. На практике глушилки создают видимость возможности снизить транспортные расходы, что делает их экономически привлекательными для недобросовестных перевозчиков», — пояснили Autonews.ru в пресс-службе «Платона».

Как отметили опрошенные Autonews.ru эксперты, до решения Перовского суда устройства малой мощности, менее 100 мВт, считались обычным электронным оборудованием, поэтому их продажа на площадках не ограничивалась. Регистрации в ГКРЧ требовали только более мощные устройства, а их эксплуатация могла повлечь конфискацию и штрафы.

В августе 2025 года ассоциация «Грузавтотранс» обратилась в Роскомнадзор с жалобой на широкое использование подавителей сигнала. Помимо водителей, такие устройства применяли и владельцы объектов дорожной инфраструктуры, объясняя это защитой от ударных беспилотников. Однако обращение не привело к ограничениям на продажу подобных устройств.

В 2026 году Перовская межрайонная прокуратура обратилась в Перовский районный суд Москвы с иском к компании «АВТОПИТЕР.РУ».

«Использование специального оборудования, передающего недостоверные данные о местонахождении и/или о маршруте следования транспортного средства или искажающего данные, передаваемые бортовыми устройствами Оператору системы «Платон» при движении транспортного средства по автомобильным дорогам общего пользования федерального значения является незаконным, поскольку нарушает требования ст. 12.21.3 КоАП РФ. С учетом изложенного, указанными правовыми нормами в их взаимосвязи предусмотрен запрет на применение Специального оборудования, за что предусмотрена административная ответственность», — говорилось в исковом заявлении.

Суд удовлетворил иск и постановил заблокировать объявления о продаже устройств этого класса на досках объявлений и маркетплейсах. Решение вступит в силу 30 мая, если не будет обжаловано.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!