СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
01.05.2025
#Dev#ИБ

Новая угроза: «CrazyHunter» атакует больницы на Тайване

Новая угроза: 171CrazyHunter187 атакует больницы на Тайване

Источник: labs.withsecure.com

9 февраля 2025 года мемориальная больница Маккея на Тайване подверглась атаке программы-вымогателя, в ходе которой использовалась версия «Prince Ransomware» под названием «CrazyHunter». Этот инцидент стал ярким примером растущего использования общедоступных атакующих инструментов и новых техник распространения вирусов, что подчеркивает угрозу для критически важных объектов, таких как медицинские учреждения.

Способы внедрения и шифрование данных

Атака началась с получения первоначального доступа через USB-устройство, что является относительно редким, но уже задокументированным методом в подобных случаях. Это дало возможность хакеру:

  • Оценить уровень защиты сети;
  • Обойти защиту больницы;
  • Зашифровать более 600 устройств как в Тайбэе, так и в Тамсуи.

Инцидент серьезно повлиял на критически важные системы, затруднив доступ к данным пациентов. На сайте VirusTotal были обнаружены ключевые компоненты вредоносного ПО, включая:

  • Пакетный скрипт «ru.bat», автоматизирующий вредоносные процессы;
  • Исполняемые файлы «go2.exe» и «go.exe».

Технические детали атаки

В атаках использовался метод «Создайте свой собственный уязвимый драйвер» (BYOVD), что позволило злоумышленнику:

  • Отключить защитные решения, используя известные уязвимости в подписанных драйверах;
  • Повысить эффективность атак за счет использования привилегий на уровне ядра.

Шифрование файлов осуществлялось с применением сложных технологий, таких как ChaCha20 и ECIES, что значительно затрудняло восстановление данных. Каждый файл шифровался с помощью уникальных ключей и одноразовых номеров, которые сохранялись в начале зашифрованных файлов. Также был задействован шифровальщик «CrazyHunter», способный избегать обнаружения.

Организованный метод распространения

Дополнительно, злоумышленники использовали инструмент «SharpGPOAbuse» для компрометации объектов групповой политики (GPO), что указывает на:

  • Организованный подход к распространению программы-вымогателя;
  • Разработка и интеграцию комплексной стратегии с целью максимального воздействия на систему.

В артефактах также был обнаружен инструмент мониторинга файлов, способный удалять определенные типы файлов, тем самым предотвращая попытки восстановления данных.

Выводы и рекомендации

Характер атаки свидетельствует о том, что местные злоумышленники нацелились на здравоохранение и промышленность Тайваня. Растущие опасения по поводу доступности сложных средств атаки снижают барьеры для менее квалифицированных хакеров. Инцидент подчеркивает необходимость усиления мер физической и кибербезопасности, особенно в критически важных объектах общественной инфраструктуры, таких как больницы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: