Дайджест киберинцидентов Acronis #8
Еще одна атака Ransomware на медицинское учреждение
Группировки Ransomware все чаще выбирают в качестве целей больницы и учреждения здравоохранения. Один из самых последних инцидентов такого класса — атака группы Hive на некоммерческую организацию Memorial Health System.
Memorial Health System — это 64 клиники в штатах Западная Вирджиния и Огайо в США, в которых работает порядка 3 000 человек. И по первичной информации злоумышленникам удалось украсть личные данные более чем 200 000 пациентов.
В прошлом нарушение работы ИТ-систем в больнице уже приводило к летальным исходам. Например, осенью 2020 года после атаки Ransomware на университетский госпиталь Дюссельдорфа (Германия), работа лечебного учреждения была фактически парализована. Врачам пришлось перейти на бумажную работу, скорость обслуживания снизилась, и больница перестала принимать пациентов скорой помощи. В результате женщину в критической ситуации повезли в другое лечебное учреждение… И хотя атакующие не ставили себе целью убить кого-то, у них это получилось.
Hive — это новая группировка Ransomware, но они уже доказали свою эффективность и заявили об успешной атаке на несколько целей. А выбор в пользу медицинской организации наводит на мысль, что эти ребята не ограничивают себя этическими принципами.
Еще одна успешная атака на страховую компанию
Японская страховая компания, работающая на международном рынке — Tokio Marine Holdings — сообщила о том, что стала жертвой атаки Ransomware. Годовой доход компании превышает $34 миллиарда, а в штате числится свыше 41 сотрудников. Все это делает Tokio Marine бесспорно значительной целью для киберпреступников.
И хотя пока не ясно, какая именно группа несет ответственность за атаку, сколько данных было украдено, равно как не известны и требования злоумышленников. Но зато понятно, что Tokio Marine стала очередным звеном серии атак на крупные страховые компании вслед за CNA Financial Corporation и AXA. Оба крупных игрока также стали жертвами шифровальщиков буквально недавно.
Подобные инциденты — повод задуматься, если вы отвечаете за безопасность в крупной страховой компании. Как минимум стоит проверить, хорошо ли работает резервное копирование, а лучше — обеспечить надежную защиту с элементами ИИ-обнаружения новых атак.
Фишинговые атаки приводят к большим потерям
Недавно проведенное Ponemon Institute исследование стало поводом для беспокойства экспертов. Статистика была неутешительной, ведь реальный ущерб от фишинговых атак оказался намного больше, чем ожидалось. Исследователи изучили все виды урона от подобных атак, включая стоимость процесса восстановления операций и время потери продуктивности работы. Эти затраты могут быть намного выше, чем стоимость выкупа, что и провоцирует жертв атак платить, несмотря на все рекомендации.
В среднем стоимость фишинговой атаки увеличилась практически в 4 раза только за последние 6 лет. Например, крупные компании в США теперь теряют около $14.8 миллионов из-за фишинговых атак ежегодно. Хотя еще в 2015 этот показатель составлял $3,8 миллионов. А если разделить сумму на количество сотрудников, то ущерб будет составлять примерно $1 500 на человека.
В 2020 более $1,8 миллиарда долларов США были украдены из организаций за счет компрометации деловой электронной почты (BEC — business email compromise). И фишинг здесь играет ключевую роль. В числе прочих тактик злоумышленников — подражание другим сотрудникам, партнерам и вендорам.
Защищаться от подобных атак можно (и нужно) двумя способами. Во-первых, стоит использовать email-шлюз со встроенной защитой от фишинга. А во-вторых, не помешает URL-фильтрация, которая не позволит перейти по вредоносной ссылке из сообщения.
Криптомайнер HolesWarm использует более 20 уязвимостей
Новый ботнет под названием HolesWarm активно эксплуатирует более 20 известных уязвимостей в Windows и Linux, чтобы атаковать серверы по всему миру. В их числе — хорошо известные проблемы безопасности Jenkins, Apache Tomcat и Apache Struts 2.
Преступники, стоящие за HolesWarm, уже скомпрометировали более 1 000 серверов, и количество их жертв продолжает расти. Получив доступ к серверу, HolesWarm устанавливает майнер криптовалюты Monero и использует ресурсы систем для майнинга.
Опасность этой атаки состоит в том, вредоносное ПО использует сразу целую пачку уязвимостей. И если одна будет закрыта, то вторая или десятая могут оказаться теми самыми критическими брешами для проникновения.