Атака программ-вымогателей на больницы NHS
Программы-вымогатели попали в новостные заголовки в 2017 году, когда WannaCry, одна из крупнейших на сегодняшний день международных кибератак, поразила крупные организации по всему миру. Одной из самых известных жертв стала Национальная служба здравоохранения (National Health Service, NHS) Великобритании. В этой статье мы рассмотрим, как произошла атака программы-вымогателя на NHS, поговорим о последствиях атаки и уроках, которые вы можете извлечь, чтобы снизить риск атак программ-вымогателей на ваш бизнес.
Когда произошла атака на NHS?
12 мая 2017 года NHS Великобритании подверглась атаке с использованием программы-вымогателя, известной как WannaCry. В результате этой масштабной атаки с использованием вымогательского ПО больницы оказались не в состоянии функционировать, поскольку критически важные системы вышли из строя. Тысячи операций пришлось отменить, а персонал не мог получить доступ к записям пациентов и даже воспользоваться телефонными системами.
По оценкам NHS England, около трети из 236 трастов NHS в Англии пострадали от атаки, что создало проблемы с конфиденциальностью и здоровьем персонала и пациентов, которые стали жертвами возникшей утечки данных.
Что такое WannaCry?
В мае 2017 года программа WannaCry стала самой известной в мире формой вымогательского ПО, поразив около 230 000 компьютеров по всему миру всего за один день. Атака WannaCry была быстро остановлена, но разновидности первоначального вируса WannaCry все еще остаются активными.
WannaCry — это вирус-червь, который особенно трудно остановить, поскольку он может заражать устройства и перемещаться по сети автоматически, подвергая риску большое количество устройств в результате одного заражения. Wanna Cry — это лишь одна из многих печально известных разновидностей программ-вымогателей. Другими примерами являются Sodinokibi и Ryuk.
Что такое Eternalblue?
Эксплойт Eternalblue применяется для использования уязвимости ОС Windows, но он не был создан хакерами. Его разработало Агентство национальной безопасности (АНБ) США. К сожалению, эксплойт Eternalblue был украден хакерской группой, известной как The Shadow Brokers, и использован для создания WannaCry. Компания Microsoft быстро создала исправление, но все ПК с ОС Windows, которые не были обновлены с момента его публикации, остаются уязвимыми.
Эксплойт Eternalblue использует SMBv1 — старый протокол сетевого взаимодействия Microsoft. Просто отправив вредоносный пакет на целевой сервер, вредоносная программа может быстро распространиться по сети, создавая значительную угрозу безопасности в считанные мгновения.
В число других типов программ-вымогателей, использующих подобный подход, входят Petya (также основанный на Eternalblue), Cerber и Locky.
Атака на NHS: что произошло?
Атаки WannaCry не были нацелены на конкретные организации. Они скорее имели веерный характер. Злоумышленники искали любую возможность заразить сети с известными слабыми местами в системе безопасности.
Атака WannaCry не была направлена непосредственно на NHS, но слабый уровень защиты и устаревшие системы облегчили ее выполнение. В британских больницах было много компьютеров с неисправленными версиями Windows 7, поэтому большие участки сети были уязвимы в то самое время, когда эта вирусная программа-вымогатель быстро распространялась по всему миру.
Помимо заражения локальных сетей трастов, вредоносная программа WannaCry смогла распространиться по сети N3, которая соединяет все объекты NHS. Однако атака не смогла распространиться через систему электронной почты NHS, что позволило предотвратить захват еще большего количества данных для получения выкупа или использования с целью фишинга.
Как служба NHS отреагировала на атаку?
Заплатила ли служба NHS выкуп мошенникам, стоявшим за WannaCry?
NHS England и Национальное агентство по борьбе с преступностью сообщили, что организации NHS не платили выкупы за данные больниц. Министерство здравоохранения не знает, во сколько обошлось службе NHS нарушение работы, но некоторые оценки предполагают, что убытки составили 92 млн фунтов стерлингов (116 млн долларов США).
Кибератака была остановлена исследователем компьютерной безопасности Маркусом Хатчинсом. Он обнаружил незарегистрированный домен, к которому программа-вымогатель была запрограммирована отправлять автоматический запрос. Зарегистрировав домен, он смог создать «стоп-кран». Национальный центр кибербезопасности Великобритании в течение последующих дней защищал домен от попыток его отключения, пока не был найден метод дешифровки.
Каковы были последствия атаки вымогателей на NHS?
От вируса пострадали по меньшей мере 80 из 236 трастов NHS в Великобритании, а также 603 организации первичной медицинской помощи и другие организации NHS и 595 клиник общей практики.
Кибератака была остановлена исследователем компьютерной безопасности Маркусом Хатчинсом. Он обнаружил незарегистрированный домен, к которому программа-вымогатель была запрограммирована отправлять автоматический запрос. Зарегистрировав домен, он смог создать «стоп-кран». Национальный центр кибербезопасности Великобритании в течение последующих дней защищал домен от попыток его отключения, пока не был найден метод дешифровки.
Другие примеры атак с использованием программ-вымогателей на крупные больницы
Вирусная атака на NHS — не единственный громкий инцидент, связанный с медицинскими учреждениями. В июле 2019 года медицинский центр Springhill в штате Алабама подвергся атаке с использованием программы-вымогателя, в результате чего произошел сбой в сети, а системы мониторинга родильного отделения были отключены. Впоследствии одна из матерей, Тейранни Кидд, подала судебный иск после того, как ее ребенок родился с повреждением головного мозга и позже умер из-за атаки, повлиявшей на отслеживание их здоровья. Это стало первой предполагаемой смертью в результате атаки с использованием программы-вымогателя.
Еще одна серьезная атака с использованием вымогательского ПО за последние годы произошла в сентябре 2020 года против компании United Health Services. ИТ-сеть компании была на несколько дней выведена из строя программой-вымогателем Ryuk, что привело к отмене приемов, переводу пациентов в другие учреждения и использованию бумажных записей. Восстановление заняло почти месяц и обошлось примерно в 67 млн долларов.
К сожалению, атаки с использованием вымогательского ПО на больницы становятся все более распространенными. Согласно одному из отчетов, в 2021 году от атак на медицинские учреждения пострадали 45 млн человек, что значительно больше по сравнению с 34 млн в 2020 году. Согласно другому исследованию, 81 % медицинских организаций в Великобритании стали жертвами атак с использованием вымогательского ПО в 2021 году.
Какие уроки могут извлечь владельцы предприятий?
Министерство здравоохранения было предупреждено о рисках кибератак на NHS за год до атаки WannaCry, и хотя работа по внесению изменений велась, было уже слишком поздно. В то время министерство также критиковали за то, что оно позволяло использовать старые системы Windows (например, версию Windows XP, которую Microsoft прекратила поддерживать в 2014 году).
Главный урок, который можно извлечь из этой громкой атаки, — это необходимость отвести приоритет использованию передовой киберзащиты и внедрению управления исправлениями. Такая задача может быть непростой в требовательных средах, но это необходимо для предотвращения уязвимостей, которые могут быть использованы хакерами для получения доступа к сети и серверу вашего предприятия.
Наряду с этим необходимо следовать передовым методам обеспечения кибербезопасности, примеры которых приведены ниже.
- План действий по восстановлению информационных систем при чрезвычайной ситуации
- Внедрение средств защиты от программ-вымогателей
- Обучение персонала, направленное на предотвращение атак с использованием фишинга и социальной инженерии
- Создание надежных резервных копий данных для восстановления конфиденциальных документов
Сочетая эти элементы, можно снизить риск атаки, что поможет свести к минимуму время простоя и восстановления. Если ваш бизнес все же подвергся атаке, помните: многие службы безопасности и государственные учреждения создали инструменты для дешифровки, чтобы восстанавливать данные, похищенные некоторыми типами известных программ-вымогателей.
Чтобы узнать больше о крупных атаках с использованием программ-вымогателей, обязательно ознакомьтесь с нашими тематическими исследованиями атак на города Атланта и Балтимор.
Позвольте Avast защитить ваш бизнес от атак программ-вымогателей
Резервное копирование и эффективное внедрение системы безопасности критически важны для защиты вашего бизнеса от атак с использованием программ-вымогателей. Решения Avast для киберзащиты малого бизнеса позволят вам выбрать уровень защиты, который наилучшим образом соответствует размеру и требованиям вашего предприятия, помогая защитить устройства от программ-вымогателей и других видов кибератак.