Ирландскую систему здравоохранения атаковали вымогатели

Ирландская система здравоохранения отключила свои серверы из-за атаки вымогателей. Рассказываем, что известно на данный момент.

Обновлено 17 мая 2021.

В СМИ появилась информация о том, что система здравоохранения Ирландии — Health Service Executive (HSE) — стала жертвой шифровальщика-вымогателя. Для тщательного расследования и защиты от дальнейшего распространения угрозы HSE была вынуждена отключить ключевые информационные системы. Целый ряд клиник разного профиля сообщили о временном прекращении работы, хотя экстренная помощь продолжает оказываться, да и вакцинация против COVID-19 не прерывается. Некоторым учреждениям приходится возвращаться к устаревшим системам документооборота.

Атака на ирландскую систему здравоохранения: что происходит?

По словам представителей HSE, они уверены в том, что «значительный сбой» сервисов вызван сложной атакой шифровальщика, непосредственно управляемой людьми. Инциденты такого рода гораздо сложнее выявить и заблокировать, поскольку злоумышленники корректируют и направляют атаку по ходу дела.

В изучении инцидента принимают участие эксперты сторонних компаний по безопасности и правоохранительные органы. Пока расследование в самом начале, поэтому подробности атаки до сих пор не известны. Однако представители HSE считают, что основная цель злоумышленников — данные, хранящиеся на серверах HSE.

Как сообщает BBC, представители Rotunda Hospital, одного из медицинских учреждений, затронутых атакой, считают, что вектором распространения угрозы могла быть общая для всех входящих в HSE учреждений система регистрации пациентов. Впрочем, оборудование для оказания экстренной помощи не затронуто — пострадали только медицинские записи в базах данных.

Надо сказать, учреждения из области здравоохранения по всему миру в последнее время все чаще сталкиваются с угрозой шифровальщиков-вымогателей. А поскольку от их нормального функционирования напрямую зависят здоровье и жизни людей, им следует относиться к информационной безопасности с особым вниманием.

Кто стоит за атакой и что они хотят?

По данным Bleeping Computer с HSE связались операторы шифровальщика Conti, и потребовали выкуп в почти 20 миллионов долларов США. Злоумышленники заявляют, что прежде чем зашифровать данные, они находились в сети HSE более двух недель и успели скачать 700 Гбайт незашифрованных файлов, включая данные пациентов, сотрудников, контракты, финансовые документы и многое другое. Теперь они угрожают опубликовать эти данные, если не получат требуемую сумму.

Сообщение от вымогателей.

Сообщение от вымогателей. Источник: Bleeping Computer.

Впрочем, премьер-министр Ирландии ясно дал понять, что выкуп уплачен не будет. На наш взгляд, это правильное решение.

Как защитить здравоохранение от шифровальщиков

Для того чтобы исключить заражение, рекомендуется в первую очередь уделять внимание контролю и защите инструментов для удаленного доступа к корпоративным ресурсам и защите электронной почты — сейчас это два самых распространенных канала заражения шифровальщиками. Кроме того, важна осведомленность сотрудников о современных киберугрозах: без нее ошибка или недосмотр сотрудника могут привести к катастрофе.

В частности, мы рекомендуем:

  • Повышать осведомленность сотрудников о современных киберугрозах. Современная медицина очень сильно завязана на компьютеры, поэтому даже врачи и медсестры должны понимать, откуда может исходить угроза и как ей противостоять.
  • Не использовать удаленные подключения к внутренним сетям, если в этом нет крайней необходимости.
  • Вести строгую парольную политику: пароли ко всем сервисам должны быть уникальными, сложными, а главное — они должны храниться надежно.
  • Своевременно устанавливать патчи (и в первую очередь к операционным системам, решениям, обеспечивающим VPN-доступ и защитным продуктам).
  • Использовать качественные защитные решения на всех без исключения устройствах, имеющих доступ к Интернету, — причем тут не следует забывать о медицинской технике и разных информационных киосках и панелях.
  • Не забывать о защите корпоративной почты— изрядная часть угроз попадает в инфраструктуру компании именно оттуда.

Кроме того, предотвратить атаку шифровальщика могут решения класса Endpoint Detection and Response — они помогают выявить угрозу на ранней стадии, а также облегчают реагирование и расследование.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.