Атака на больницу Маккея: угроза программ-вымогателей возрастает
Источник: labs.withsecure.com
9 февраля 2025 года мемориальная больница Маккея на Тайване стала жертвой масштабной атаки программ-вымогателей, что подчеркивает растущую угрозу киберпреступлений в сфере здравоохранения. Атака использовала шифровальщик-вымогатель под названием «CrazyHunter», который был разработан с использованием конструктора программ-вымогателей «Prince Ransomware», доступного на GitHub. Несмотря на его удаление с платформы, этот инцидент подчеркивает серьезные проблемы в области киберзащиты.
Механизм атаки и последствия
Хронология атаки выглядит следующим образом:
- Хакер получил первоначальный доступ к сети больницы через USB-устройство.
- После начала атаки злоумышленник смог взломать ограниченное число компьютеров.
- В результате, шифрования подверглись более 600 устройств в филиалах hospital в Тайбэе и Тамсуи.
Это нарушение привело к серьезным операционным потерям, так как основные системы были выведены из строя, а доступ персонала к данным о пациентах был значительно ограничен.
Технические аспекты и методы атаки
Одной из ключевых особенностей атаки стало использование метода «Приведите свой собственный уязвимый драйвер» (BYOVD) для отключения систем безопасности. Этот метод позволяет злоумышленникам использовать известные уязвимости в законных драйверах для получения повышенных привилегий. В ходе атаки были задействованы два исполняемых файла:
- go2.exe
- go.exe
Они были разработаны на Go и имели целью прекращение работы различных систем безопасности, включая Windows Defender.
Анализ шифрования и кража данных
Шифровальщик, также известный как «go3.exe» или «crazyhunter.exe», использует сложные методы шифрования, такие как криптография ChaCha20 и ECIES, что делает восстановление данных для жертв значительно более сложным. Кроме того, использование инструмента SharpGPOAbuse для горизонтального перемещения по сети подчеркивает возрастающую опасность таких атак.
Одним из интересных артефактов атаки стал файл file.exe, который, по всей видимости, использовался как файловый сервер или инструмент мониторинга. Это может свидетельствовать о двойной цели хакера: как кража данных, так и создание препятствий для восстановления информации.
Заключение: необходимость улучшения кибербезопасности
Инцидент с CrazyHunter подчеркивает важность совершенствования мер кибербезопасности, особенно в сфере здравоохранения. Из-за доступности удобных в использовании инструментов с открытым исходным кодом, возможности злоумышленников по проведению высокоэффективных атак значительно увеличились. Это требует от организаций более высокой бдительности и внедрения эффективных контрмер для защиты своих систем и данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
