CERT БГ: Хакери атакуват здравни заведения с ransomware по време на пандемията от коронавирус

CERT България публикува на сайта си новия брой на бюлетина с актуалните киберновини за периода 10-15 април 2020 г.

Третият брой на бюлетина на Националния  център за действие при инциденти в информационната сигурност CERT България  съдържа „някои интересни заглавия от медийния мониторинг на актуалните киберновини“ за периода 10-15 април 2020 г. Едно от заглавията в бюлетина е Хакери атакуват здравни заведения с ransomware по време на пандемията от коронавирус:

Тъй като болниците по света се борят да отговорят на коронавирусната криза, киберпрестъпниците – без съвест и съпричастност – непрекъснато се насочват към здравни организации, изследователски центрове и други правителствени организации с цел заразяване с ransomware или с цел кражба на данни.

Атаките бяха открити между 24 и 26 март и бяха инициирани като част от фишинг кампаниите с коронавирус, които станаха широко разпространени през последните месеци.

Предоставяне на Ransomware чрез използване на CVE-2012-0158

Според изследователи кампанията е започнала със злонамерени имейли, изпращани от измамен адрес, имитиращ този на Световната здравна организация (noreply @ who.Int), изпратени до редица лица, свързани със здравната организация.

Измамните имейли съдържат документ с Rich Text Format (RTF), наречен „20200323-sitrep-63-covid-19.doc“, който при отваряне се опитва да извлече EDA2 ransomware чрез използване на известна уязвимост (CVE-2012-0158 ) в контролите на ListView / TreeView ActiveX на Microsoft в библиотеката MSCOMCTL.OCX.

Интересно е да се отбележи, че въпреки че името на файла ясно посочва конкретна дата (23 март 2020 г.), то не е актуализирано в хода на кампанията, за да отразява текущите дати, отбелязват изследователите на Palo Alto Networks.

Интересно е също, че авторите на злонамерен софтуер не са се постарали да направят примамките си да изглеждат истински, от първата страница на документа става ясно, че нещо не е наред.

След изпълнение, този ransomware се свързва със сървъра за командване и контрол (C2), за да изтегли изображение, което служи като главно известие за заразяване с рансъмуер на устройството на жертвата, и впоследствие предава подробности за хоста, за да създаде персонализиран ключ за криптиране на файловете на работния плот на системата с разширение “.locked20”.

Освен получаване на ключа, заразеният хост използва HTTP Post заявка, за да изпрати дешифриращия ключ, криптиран с помощта на AES, на C2 сървъра.

От Palo Alto Networks са установили, че щамът ransomware е EDA2. EDA2 и Hidden Tear се считат за едни от първите видове ransomware с отворен код, които са създадени с образователни цели, но оттогава с тях са злоупотребили много хакери.

Атаките с ransomware са следствие от увеличаване на други кибератаки, свързани с пандемията. Те включват набор от фишинг имейли, които се опитват да използват кризата, за да убедят хората да кликнат върху връзки, които изтеглят malware или ransomware на техните компютри.

Тъй като болниците са подложени на ограничения във времето и натиск поради продължаващата пандемия, хакерите разчитат на организациите да платят откуп, за да възстановят достъпа до критични системи и да предотвратят нарушаване на грижите за пациентите.

Доклад, публикуван от RisKIQ миналата седмица, установява, че нападенията и злоупотребите срещу медицински заведения са нараснали с 35% между 2016 и 2019 г., като средният размер на искания откуп е 59 000 долара при 127 инцидента. Хакерите са предпочели предимно малки болници и здравни центрове.

Скокът в нападенията и злоупотребите срещу медицинския сектор предизвикват Интерпол да издаде предупреждение за заплахата за страните-членки.

“Киберпрестъпниците използват ransomware, за да превръщат болници и медицински услуги в цифрови заложници, като им пречат да имат достъп до жизненоважни файлове и системи, докато откупът не бъде платен”, съобщават от агенцията.

За да защитят системите си от подобни атаки, Интерпол предупреди организациите освен да съхраняват данните офлайн или в друга мрежа, да внимават и за опитите за фишинг, да криптират чувствителните данни и да извършват периодично архивиране.

За повече информация:

https://thehackernews.com/2020/04/ransomware-hospitals-coronavirus.html

 

Можете да споделите: