Операторы LockBit отправили детской больнице дешифратор с извинениями

Операторы LockBit отправили детской больнице дешифратор с извинениями

В конце 2022 года банда кибервымогателей, управляющая вредоносом LockBit, атаковала детскую больницу в Торонто — SickKids. На праздниках создатели шифровальщика решили вспомнить про совесть и отправили персоналу медучреждения декриптор с извинениями.

19 декабря SickKids сообщила о кибератаке, которая привела к сбою в работе внутренних систем больницы. Причём инцидент также затронул телефонные линии и отдельные веб-страницы медицинского учреждения.

Спустя десять дней стало понятно, что действия злоумышленников нанесли куда больший урон, чем предполагалось изначально. В SickKids признали, что дети и их родители сталкиваются с задержкой в постановке диагнозов и, соответственно, лечении.

Параллельно руководство больницы заявило, что специалистам удалось восстановить уже около половины пострадавших систем. Спустя какое-то время Доминик Альвьери, исследователь в области кибербезопасности, сообщил, что на сайте банды LockBit есть официальное заявление по поводу атаки на SickKids.

Операторы шифровальщика принесли свои извинения и отметили, что за киберинцидентом стоят некие «недобросовестные партнёры», находящиеся вне зоны контроля кибергруппировки. Скорее всего, речь идёт о злоумышленниках, пользующихся LockBit по модели «вымогатель как услуга» (ransomware-as-a-service, RaaS).

«Приносим свои извинения за этот эпизод и бесплатно отдаём дешифратор. Атаковавший больницу партнёр нарушил наши правила, после чего мы заблокировали его. Больше он не будет принимать участие в нашей программе», — пишут создатели LockBit.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новое решение Angara Security на базе ML повысит эффективность SOC

Специалисты компании Angara Security выпустили решение на базе нейронной сети, интегрирующееся с SIEM-системой. По словам разработчиков, новинка поможет повысить эффективность мониторинга в SOC.

Комбинированные слои, из которых состоит нейронная сеть, свойственны как сверточным сетям (Convolutional Neural Networks), так и рекуррентным (Recurrent Neural Networks).

Таким образом, разработка поможет дополнить стандартные методы анализа событий в информационной безопасности, а также с высокой точностью выявлять вредоносную активность по характерным паттернам.

В этом случае безопасники избавляются от необходимости писать отдельные правила детектирования для каждой новой утилиты или процедуры.

«ML-модели являются отличным вспомогательным инструментом в работе аналитиков. С одной стороны, они позволяют расширить возможности по детектированию активности злоумышленников, с другой — автоматизировать часть процессов и высвободить ресурсы для задач, требующих участия человека», — комментирует Артем Грибков, заместитель директора Angara SOC по развитию бизнеса.

Использованная Angara Security ML-модель может применяться в трёх сценариях. Например, для детектирования PowerShell-скриптов — одного из любимых инструментов киберпреступников.

Второй сценарий — обнаружение DGA-доменов и DNS-туннелирования. Зачастую классические методы анализа DNS-имен выдают ложноположительные срабатывания, а сверху ещё накладывается проблема доменных имён, похожих на легитимные. В Angara Security отмечают, что ML-решение справляется с этой задачей.

Наконец, третий сценарий — анализ журналов веб-серверов. ML-модель в этом случае может использоваться в качестве дополнения к WAF-системам или как альтернатива эшелонированной защиты веб-ресурсов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru