Пациентам прописали отхакерское
В России участились кибератаки на медицинские учреждения
«Лаборатория Касперского» обнаружила серию целевых атак на крупные госучреждения сферы здравоохранения в южных регионах России. Злоумышленников интересовал сбор финансовых документов — счетов и контрактов на лечение. Другим участникам рынка неизвестно об этих инцидентах, но и они говорят, что количество хакерских атак на медучреждения в России в этом году как минимум удвоилось.
Фото: Юрий Мартьянов, Коммерсантъ / купить фото
Фото: Юрий Мартьянов, Коммерсантъ / купить фото
В «Лаборатории Касперского» сообщили “Ъ”, что зафиксировали серию целевых атак на российские организации сферы здравоохранения. По данным компании, весной и в начале лета 2019 года были атакованы до десяти крупных государственных учреждений в южных регионах России. Кто стоит за атаками, пока неизвестно. Атакующие свободно говорят на русском языке, но территориально находятся за пределами страны, полагают в «Лаборатории Касперского».
Основной целью злоумышленников был сбор финансовых документов: контрактов на дорогостоящее лечение, счетов-фактур и др.
Заражение компьютеров осуществлялось с помощью программы-шпиона CloudMid. В «Лаборатории Касперского» утверждают, что это «уникальное вредоносное ПО», которое ранее им не встречалось. CloudMid рассылалась по электронной почте и маскировалась под VPN-клиента одной из российских компаний. Рассылка не была массовой, сообщения получили лишь некоторые организации. После установки CloudMid приступала к сбору документов на зараженном компьютере, для чего, в частности, делала снимки экрана несколько раз в минуту.
Обновление. Позднее активность программы-шпиона CloudMid подтвердили в компании Group-IB, уточнив, что подготовка к атаке с использованием этого ПО стартовала в январе, а первый вредоносный файл собрали 1 февраля 2019 года.
«Сфера здравоохранения начала интересовать киберзлоумышленников, в том числе организаторов сложных и скрытных целевых атак. В данном случае атаки не отличались хорошей технической проработанностью, но были целевыми, и злоумышленникам все равно удалось получить желаемое»,— рассуждает антивирусный эксперт «Лаборатории Касперского» Дмитрий Кузнецов. Вредоносное ПО было не очень продвинутым, возможно, злоумышленники разрабатывают его с нуля и находятся в начале пути, а может быть, простых средств оказалось достаточно для достижения целей, рассуждает другой эксперт «Лаборатории Касперского» Алексей Шульмин, не исключая новых подобных атак.
В других опрошенных “Ъ” компаниях в сфере информационной безопасности эти атаки не зафиксировали, но подтверждают рост интереса злоумышленников к медицинской отрасли.
По данным Bi.Zone, число атак на медучреждения в России с начала 2019 года «выросло минимум в два раза» к аналогичному периоду прошлого года. В Positive Technologies отмечают рост числа атак на отрасль здравоохранения во всем мире. Там подсчитали, что в первом квартале 2019 года количество уникальных киберинцидентов выросло на 11% год к году.
Медицинские учреждения традиционно входят в топ наиболее популярных жертв среди киберпреступников: за первые три месяца этого года они заняли второе место в мире по количеству атак (10%), уступив лишь государственным органам (16%), говорится в глобальном исследовании Positive Technologies. По данным компании, основным методом атак на медучреждения в первом квартале 2019 года стали вредоносное ПО (в 46% случаев), социальная инженерия (32%) и подбор учетных данных (25%).
Максим Акимов, вице-премьер РФ, 9 июля («Говорит Москва»)
Кибератаки случаются ежесекундно, но это решаемый вопрос. Главная угроза — это безграмотность людей
«У многих медицинских организаций очень уязвимые инфраструктуры из-за оборудования со старым ПО, так как не все производители медицинских устройств регулярно выпускают драйверы для последних версий операционных систем и программ. Кроме того, обновление ПО влечет за собой необходимость заново сертифицировать все оборудование»,— поясняет директор блока экспертных сервисов Bi.Zone Евгений Волошин. При этом, указывает эксперт, медицинские организации знают практически все о своих клиентах: имя, дату рождения, родной город, реквизиты счета, состояние здоровья, план лечения и многое другое. «Эта информация критична для обслуживания пациентов, за выкуп таких данных заинтересованная сторона готова платить многие тысячи долларов»,— считает господин Волошин.
За утрату такой базы данных компаниям грозят значительные штрафы, поэтому владельцы медицинских центров охотнее платят выкуп, чем компании из других отраслей, подтверждает руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies Эльмар Набигаев. Так, администрация центра Columbia Surgical Specialists в США в этом году выплатила $15 тыс. за восстановление файлов, напоминает он.