Немецкие власти на прошлой неделе сообщили, что атака шифровальщика в больнице университета Дюссельдорфа привела к выходу из строя IT-систем, в результате чего умерла женщина, которую пришлось отправить в другую больницу в 20 милях пути.
Этот инцидент знаменует собой первую зарегистрированную гибель людей в результате усилившейся в последние месяцы серии кибератак на критически важные медицинские учреждения.
Атака использовала уязвимость Citrix ADC CVE-2019-19781 для разрушения больничных IT-систем, и, как утверждается, была «перенаправлена», поскольку, согласно оставленному сообщению с требованием выкупа, изначально предназначалась для Университета Генриха Гейне.
После того как правоохранительные органы связались с атакующими, сообщили, что они зашифровали больницу. Хакеры, стоявшие за нападением, отозвали требование выкупа и предоставили ключ дешифровки.
В настоящее время это дело рассматривается как убийство, передает BBC News.
Непропатченные уязвимости - вход для атак шифровальщиков
Несмотря на то, что на ранних стадиях пандемии несколько групп вымогателей заявили, что они не будут атаковать больницы или медицинские учреждения, повторяющиеся нападения побудили Интерпол выпустить предупреждение, предостерегающее больницы от атак с целью блокирования их критически важных систем в попытке вымогательства.
Слабые учетные данные и уязвимости VPN оказались благословением для злоумышленников, пытающихся проникнуть во внутренние сети предприятий и организаций, как сообщается в многочисленных рекомендациях ведущих компаний по кибербезопасности в США и Великобритании.
«Федеральное ведомство по информационной безопасности получает информацию о все большем количестве инцидентов, в ходе которых системы Citrix были скомпрометированы до установки обновлений системы безопасности, выпущенных в январе 2020 года», - говорится в сообщении немецкого агентства кибербезопасности, опубликованном на прошлой неделе.
«Это означает, что злоумышленники по-прежнему имеют доступ к системам и сетям, расположенным за Citrix, даже после того, как устранен пробел в безопасности. В настоящее время эта возможность все чаще используется для проведения атак на различные организации».
Развитие ситуации также описывается в новом заявлении Национального центра кибербезопасности Великобритании. Сообщается, что замечен рост числа инцидентов с применением шифрования, направленных на образовательные учреждения с августа 2020 года, в то же время заявление призывает школы и университеты к осуществлению стратегии «эшелонированной обороны» для защиты от атак таких вредоносных программ.
Некоторые из пострадавших учреждений - университеты Ньюкасла и Нортумбрии.
Ссылаясь на протокол RDP, уязвимое программное, аппаратное обеспечение и фишинг через электронную почту как на три наиболее распространенных вектора заражения, агентство рекомендовало организациям поддерживать актуальные автономные резервные копии, внедрять защиту от вредоносных программ на рабочих станциях, обеспечивать безопасность служб RDP с помощью многофакторной аутентификации, а также выработать эффективную стратегию управления патчами.
Всплеск активности шифровальщиков
Похоже, кризис шифровальщиков только усугубляется. Исторические данные, собранные лабораторией кибербезопасности Университета Темпл, показали, что с 2013 года в США было зарегистрировано в общей сложности 687 опубликованных случаев атак шифровальщиков, причем, только в 2019 и 2020 годах на них приходилось более половины всех зарегистрированных случаев (440).
Согласно проведенному анализу, государственные учреждения, учебные заведения и организации здравоохранения являются наиболее уязвимыми секторами.
И если 2020 год можно считать релевантным статистике, то количество нападений на колледжи и университеты не проявляет никаких признаков снижения интенсивности.
Аллан Лиска, аналитик службы разведки угроз «Recorded Future», сообщил, что на сегодняшний день в 2020 году в секторе образования было зарегистрировано не менее 80 случаев заражения шифровальщиками, что почти вдвое больше чем 43 подобных атаки за весь 2019 год.
«Частично это изменение можно отнести на счет сайтов-вымогателей, которые вынуждают большее количество жертв объявлять о нападениях», - сообщает Лиска в твиттере. «Но, в целом, злоумышленники больше заинтересованы в том, чтобы атаковать колледжи и университеты, и они часто являются легкой мишенью».
Вы можете узнать больше о мерах по смягчению последствий атак шифровальщиков в статье на сайте NCSC, а также рекомендуем ознакомиться со списком мер по реагированию Агентства США по кибербезопасности и инфраструктурной безопасности.
Перевод сделан со статьи https://thehackernews.com