Как сообщает интернет-издание arstechnica.com, посвященное информационным технологиям, о новых атаках хакеров рассказали официальные лица из трех государственных агентств и частные эксперты. Хакеры обычно используют сеть зараженных компьютеров TrickBot для проникновения в компьютерные сети больниц, и развертывают там Ryuk - особо агрессивную программу-вымогатель.
ФБР, американская Служба здравоохранения и Служба кибербезопасности и безопасности инфраструктуры даже опубликовали совместное официальное сообщение о том, что у них есть "достоверная информация о растущей и неминуемой угрозе киберпреступности больницам и поставщикам медицинских услуг в США", призвав врачей защитить свои компьютеры и сети.
Компания по обеспечению безопасности Mandiant сообщила примерно то же самое в своем уведомлении, предоставив индикаторы проверки, чтобы организации могли узнать, подвергались ли они атакам. Старший вице-президент и технический директор Mandiant Чарльз Кармакал заявил, что нынешнее нападение - "самая серьезная угроза кибербезопасности, которую мы когда-либо видели в США". Он же заявил о причастности к атакам российской хакерской группы, охарактеризовав ее планы как "одну из самых наглых, бессердечных и разрушительных угроз, которые наблюдал за свою карьеру". По словам Чарльза Кармакала, за последние несколько дней нападению подверглись уже несколько больниц.
"Намерение злоумышленника состоит в том, чтобы поразить сотни других организаций, - сказал Чарльз Кармакал. - Большинство злоумышленников не хотят преднамеренно атаковать больницы. Есть этическая линия, и они предпочитают не переходить ее. Эти хакеры без проблем пересекают черту. Они активно нацелены именно на организации здравоохранения".
CNN сообщала, что кибератакам за последние несколько недель подверглась Universal Health Services, больничная компания, базирующаяся в Пенсильвании, медицинские учреждения системы здравоохранения Святого Лаврентия в Нью-Йорке и медицинский центр Sky Lakes в Орегоне.
Две недели назад компания Microsoft и ряд ее отраслевых партнеров предприняли скоординированные действия по нарушению работы TrickBot. Они отключили 62 из 69 командно-управляющих серверов, которые, как стало известно, использовались хакерской группой. Когда хакеры в ответ задействовали 59 новых серверов, отключили уже все из них, кроме одного. Microsoft также заявила, что предприняла меры для защиты избирательных систем США от атак программ-вымогателей в преддверии выборов.
"Проблема здесь в том, что из-за попыток демонтажа инфраструктура TrickBot изменилась, и у нас нет той телеметрии, которая была раньше, - цитирует газета Times Алекса Холдена, основателя компании Hold Security в Милуоки. - Атака сотен больниц показала, что группа использует новую тактику. Это нацеливание на маршрутизаторы и другие типы устройств "Интернета вещей", которые намного сложнее вывести из строя.