Версия для печати
  17:56    20.4.2020

Ничего святого: хакеры заражают больницы вымогательским ПО

Ничего святого: хакеры заражают больницы вымогательским ПО
pixabay.com
Киберпреступники атакуют больницы и правительственные учреждения в США с помощью вымогательского ПО, используя учетные данные Active Directory, похищенные путем эксплуатации критической уязвимости в VPN-серверах Pulse Secure. В Европе тоже начали нападать на больницы.

Уязвимость CVE-2019-11510, позволяющая удаленно выполнить код, была исправлена Pulse Secure в августе прошлого года, пишет securitylab.ru. Первые попытки ее эксплуатации зафиксировал исследователь безопасности Кевин Бомон (Kevin Beaumont) 22 августа 2019 года. Кроме того, в прошлом году уязвимость активно эксплуатировалась киберпреступными группировками, финансируемыми иранским правительством. Тем не менее, несмотря на это, многие установки Pulse Secure до сих пор остаются уязвимыми.


На прошлой неделе Агентство по кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) в очередной раз призвало организации как можно скорее обновить уязвимые версии Pulse Secure с целью предотвратить возможное проникновение злоумышленников в их сети и хищение учетных данных администратора домена.

Согласно уведомлению CISA, заполучив учетные данные, злоумышленники проникают в сетевую среду организации через уязвимые установки Pulse Secure VPN. В целях избежать обнаружения при подключении к VPN-серверу жертвы киберпреступники используют прокси, в частности инфраструктуру Tor и виртуальные выделенные серверы (VPS).

Одна из обнаруженных CISA киберпреступных группировок после похищения учетных данных через уязвимую установку Pulse Secure VPN смогла заразить вымогательским ПО сети нескольких больниц и госучреждений в США и зашифровать хранящуюся в них информацию. Тем не менее, в 30 случаях попытки проникновения в сетевую среду оказались безуспешными, после чего группировка выставила похищенные учетные данные Active Directory на продажу.

Уязвимость CVE-2019-11510 позволяет удаленному неавторизованному атакующему скомпрометировать VPN-серверы, получить доступ к незашифрованным учетным данным всех активных пользователей и выполнить произвольные команды, если пользователи не сменили свои пароли.

Установившие обновление организации по-прежнему могут оставаться уязвимыми, если патч был применен уже после того, как злоумышленники проникли в сети. В связи с этим CISA выпустило утилиту с открытым исходным кодом check-your-pulse, позволяющую организациям находить индикаторы взлома и решать, нужно ли сбрасывать пароли Active Directory.

Одними США проблема не ограничивается, в ночь на субботу региональный госпиталь в городе Карловы Вары на западе Чехии дважды подвергся интернет-нападению, сообщает Reuters.

Несколько больниц в Чешской Республике также сообщили о попытках взлома их компьютерных систем.

Госсекретарь США Майк Помпео заявил в пятницу, что Соединенные Штаты обеспокоены угрозой кибератак против сектора здравоохранения Чехии.