Восточноевропейские преступники нацелились на десятки американских больниц с помощью программ-вымогателей, и федеральные чиновники Соединенных Штатов призвали медицинские учреждения быстро усилить подготовку на случай, если они будут следующими.
Федеральное бюро расследований расследует недавние атаки, которые включают инциденты в Орегоне, Калифорнии и Нью-Йорке, обнародованные только на этой неделе, по словам трех консультантов по кибербезопасности, знакомых с этим вопросом.
Врач в больнице в Орегоне сообщил агентству Рейтер, что учреждение работает на бумаге после нападения и не может перевести пациентов, потому что ближайшая альтернатива находится в часе езды.
Доктор отказался назвать свое имя, потому что персонал не имел права разговаривать с журналистами.
“Мы все еще можем наблюдать жизненно важные органы и делать снимки, но все результаты передаются только на бумаге”, — сказал доктор.
Персонал мог видеть исторические записи, но не обновлять эти файлы.
Эксперты сказали, что вероятная группа, стоящая за атаками, была известна как Wizard Spider или UNC 1878.
Они предупредили, что такие атаки могут нарушить работу больниц и привести к человеческим жертвам.
Эти атаки вызвали в среду телеконференцию под руководством сотрудников ФБР и Национальной безопасности для администраторов больниц и экспертов по кибербезопасности.
Один из участников рассказал агентству Reuters, что правительственные чиновники предупредили больницы, чтобы они убедились, что их резервные системы в порядке, отключили системы от Интернета, где это возможно, и избегали использования личных учетных записей электронной почты.
ФБР не сразу ответило на запрос о комментариях.
“Это, по-видимому, была скоординированная атака, предназначенная для разрушения больниц конкретно по всей стране”, — сказал Аллан Лиска, аналитик разведки угроз в американской фирме по кибербезопасности Recorded Future.
“В то время как многочисленные атаки вымогателей на поставщиков медицинских услуг каждую неделю были обычным явлением, это первый раз, когда мы видели шесть больниц, нацеленных в один и тот же день одним и тем же вымогателем.”
В прошлом заражения вымогателями в больницах приводили к разрушению баз данных учета пациентов, которые критически хранят актуальную медицинскую информацию, что влияло на способность больниц оказывать медицинскую помощь.
Двое из трех консультантов, знакомых с атаками, сказали, что киберпреступники обычно использовали тип вымогателей, известный как “Рюк”, который блокирует компьютер жертвы до тех пор, пока не будет получен платеж.
Участник телеконференции сказал, что правительственные чиновники раскрыли, что злоумышленники использовали Рюка и другого троянца, известного как Trickbot, против больниц.
“UNC1878-один из самых наглых, бессердечных и разрушительных субъектов угроз, которых я наблюдал за своей карьерой”, — сказал Чарльз Кармакал, старший вице-президент по реагированию на кибер-инциденты фирмы Mandiant.
“Несколько больниц уже значительно пострадали от вымогателей Ryuk, и их сети были переведены в автономный режим.”
Эксперты говорят, что развертывание Trickbot является значительным после усилий Microsoft по разрушению хакерской сети в начале этого месяца.
Эта инициатива была направлена на то, чтобы помешать киберпреступникам, но они, похоже, быстро оправились, сказал Стефан Танасе, аналитик по киберпреступности.
“То, что мы видим здесь, является подтверждением того, что сообщения о захвате Трикбота были сильно преувеличены”, — сказал он.
Microsoft не ответила на запрос о комментариях.
