Больница в Германии обвинила вирус-криптовымогатель в смерти пациента

    Одна из больниц в Германии не смогла оказать помощь пациентке из-за того, что компьютеры учреждения были заражены вирусом. Женщина скончалась по дороге в больницу в другом городе. 

    Университетская клиника в Дюссельдорфе заявила, что из-за атаки, которая в течение недели наносила вред её системам, больница не может принимать пациентов, которым требуется неотложная помощь. Из-за этого одной из пациенток пришлось обратиться в другую больницу, находящуюся в 32 км. Во время транспортировки пациентка умерла.

    «Согласно информации прокуратуры и Министерства юстиции, полиция в сотрудничестве с внешними специалистами и IT-специалистами клиники выявила причины нарушения работы компьютеров больницы. Причиной сбоя является хакерская атака», — сообщили в клинике.

    Персонал клиники заявил, что системы учреждения были заражены через уязвимость в одном из программных пакетов. Название программного обеспечения и уязвимые версии не сообщаются.

    «Уязвимость системы безопасности была обнаружена в коммерческом дополнительном программном обеспечении, которое широко распространено на рынке и используется по всему миру», — заявили в больнице. Там также подчеркнули, что пока нет доказательств того, что в ходе атаки данные были безвозвратно уничтожены. Неизвестно также, что конкретно было целью вымогателей. Не было даже требования выкупа.

    Сейчас в отношении операторов атаки открыто уголовное дело, ведётся расследование непредумышленного убийства. Личность мошенников ещё не установлена. Как пишет The Register, скорее всего, исполнители атаки находятся не в Германии, и на их арест мало надежд.

    Преступники передали ключ дешифрования полицейским, когда узнали, что атаковали больницу. Однако даже с ключом больнице потребуется время, чтобы восстановить и запустить всю свою сеть. В это время клиника не сможет принимать пациентов.

    «Из-за размера IT-системы и обилия данных мы не можем спрогнозировать, когда этот процесс будет завершён», — указал коммерческий директор больницы Эккехард Циммер.

    Ранее портал Bleeping Computer связывался с операторами некоторых шифровальщиков, включая Maze, DoppelPaymer, Ryuk, Sodinokibi/REvil, PwndLocker и Ako Ransomware, с вопросом, будут ли хакеры атаковать медицинские организации во время вспышки коронавируса. Операторы DoppelPaymer ответили, что «всегда стараются избегать больниц, домов престарелых и не трогают службу 911», и «если атакуют по ошибке — расшифруют бесплатно». Операторы Maze также ответили, что «прекращают всякую деятельность против медицинских организаций до стабилизации ситуации с вирусом». Однако, подчёркивает The Register, спустя всего несколько дней Maze поразил медицинскую исследовательскую компанию в Лондоне.

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 67

      +6

      Нужно менять законодательство, чтобы по преступлениям, при совершении которых люди уверены что из трудно поймать, в случае раскрытия наказание служило уроком другим, например лет 50 тюрьмы… Может тогда желающих играть в такую рулетку будет меньше...

        –2
        Это приведет к росту тяжелых преступлений, за которые сроки меньше
          +7

          Интересно с чего? Криптовымогатеди возьмут в руки бензопилы?

          0
          Уже есть США, где все суммируется и за кардерство больше, чем за наркотики. Проблема в доказательной базе и всяких мутных темах, типа продажи эксплойтов. Ну и ошибки аля Маркус Хатчинс.
            +1
            Тяжесть наказания может способствовать сопутствующим преступлениям с целью сокрытия улик. Но вот учитывать последствия преступления и ущерб — вполне нужно.
              0

              Проблема убийств(про сокрытие улик) достаточно угрозы 8 лет чтобы пытаться сжечь 10этажный дом для сокрытия при этом все сроки до 10… Не уверен что сопутствующие уходят при не очень жестоких наказаниях, на мой взгляд эффект обратный, но я могу ошибаться а натурный эксперимент по сути невозможен и все эти оценки влияния они лишь мнение людей. Можно с уверенностью лишь сказать что полное отсутствие наказания может понизить число сопутствующих преступлений...

              +3

              Бесполезно. Они надеются не отсидеть и выйти, а остаться не пойманными.

                –1

                Я на прошлой неделе пришел как раз к доктору, а у нее компьютер не работает. Так вот она взяла ручку, бумажку и начала задавать все вопросы, ответы на которые были в моей электронной карточке, все аккуратно записала, выдала направления куда надо, и на каждом отметила, что компьютер не работает, что просьба принять по бумажке. На следующий прием пришел — у нее все в системе уже заполнено, и все результаты диагностики в наличии. Потому что у настоящих профессионалов руки растут откуда надо, и совесть имеется.


                Поэтому я бы предложил привлечь к ответственности врачей, которые отказывают в медицинской помощи тяжелобольным из-за того, что у них косынка на рабочем месте не работает. Получается, если будет, например, ураган, и погаснет свет, они тоже будут сидеть в своих кабинетах и ждать, когда им на рабочем месте сделают красиво, а не больных лечить.


                И отдельно обратил бы внимание на админов, которые деньги получают, а обеспечить SLA не в состоянии.


                Ну и производителям дырявого ПО, конечно, тоже бы раздал взысканий. Софт для больниц продаете — извольте сделать его надежным и безопасным или оплатите ущерб. В следующий раз к лицензии приложите договор страхования, чтобы каждый час простоя больницы был оплачен.

                  +1

                  По тому что без компьютеров можно, вроде да но не всегда, со срочным МРТ(инсульт) могут быть проблемы и то что системы нужно делать более защищённые вроде тоже да, но тут борьба щита и меча, отдельно щит очень дорогой а в комплексе с лучниками на башнях может быть и полегче…
                  Тут дилемма скорее в том что если сделать / настроить более защищённую систему / нанимать только "более хороших" специалистов то в какой то момент количество спасённых может стать меньше количества погибших из-за недостатка ресурсов, т.е. это почти всегда компромисс (как и все виды лечения сначала по неполному обследованию как у большинства) а вот правовая сторона (изменение наказания в сторону "профилактики' с показательными процессами для самой медицины штука по сути бесплатная, тут скорее у самого общества стоит проблема выработки компромиссов (главное не перегнуть и не переводить на все сферы рядом).

                    –1

                    Какая борьба щита и меча? Если это не целевая атака, то значит взлом сделан через открытый RDP по давно известной уязвимости или пароль был 12345.


                    И держать аппарат подключенным к интернету необязательно. Если он такой супер-пупер критичный, то идешь с флэшкой, перезаливаешь все и восстанавливаешь из последнего бэкапа. В любом коммерческом магазине админа выгонят, если он не восстановит работоспособность любого сервера в течение нескольких часов.

                +10
                Причиной смерти стала экономия больницы на ИБ.
                  +1

                  А если неэкономить на мб/заборах под напряжением и много чём ещё, количество спасённых жизней вырастет по сравнению с количеством умерших из-за того что на них не хватило ресурсов и они ушли на иб?

                    –1

                    Уверен, что деньги на ИБ и заборы уже потрачены в достаточном количестве.

                    +6

                    Существует сумма, после которой можно сказать "мы не сэкономили на ИБ и нас теперь 100% не взломают" ?

                      0
                      Есть сумма, когда можно сказать, что мы снизили риски на ХХХ%. А взломать при нужных финансах всегда можно. Шутка про термальный криптоанализ здесь. Задача сделать взлом экономически невыгодным.
                      P.S. Если это не был Ваш сарказм.
                      +1
                      Причиной смерти стала экономия больницы на ИБ.

                      А если придут в больницу с ножом, возьмут пациента в заложники и не будут давать его лечить, пока не дадут выкуп — это тоже будет причина смерти экономия на ИБ?

                      Давайте не сваливать с больной головы на здоровую. ИБ конечно понесут свое за плохую работу, но они вирус не запускали.
                        0
                        но они вирус не запускали.

                        Да кто его знает
                      +8
                      Одна из больниц в Германии не смогла оказать помощь пациентке из-за того, что компьютеры учреждения были заражены вирусом.

                      Мутно. И зачем для экстренной помощи компьютеры? Посмотреть противопоказания по лекарствам в электронной карте? Или имеются ввиду управляющие ПК для медицинских приборов — тогда как туда попал шифровальщик?
                        +3
                        сейчас томографы/рентгены через компьютеры работают
                          0
                          Там пациентка вообще не доехала до больницы. И то в источнике об этом ни слова.
                          Обычно для таких вещей(медицинское, промышленное оборудование) если и делают доступ в сеть, то только локальный на отдельный компьютер, как раз для подобных случаев.
                            +1
                            Не доехала до другой больницы, потому что в этой что то не смогли сделать.
                            А вообще известно как доступ «только локальный» обходят, сотрудники через личные сотовые в инет подключаются.
                              0
                              В первоисточнике всё есть кроме пациентки. У них легла база данных, из за дырявого софта.
                              Если подключают к ПК личные сотовые значит это почему то доступно(хотя первое что нужно сделать это отключать порты) и есть какая то причина. Либо неслужебное использование, либо что то криво сделали.
                                0
                                Яснее не стало. Не понимаю, как оказывают медицинскую помощь базой данных.
                                  –1
                                  Есть такая штука, называется медицинская карта. Нет карты, нет оказания помощи.

                                  Короче, пациентку убили не хакеры, а бюрократы.
                                    0
                                    Сомневаюсь. Если её повезли в другую больницу, то явно не потому что там была медицинская карта, а здесь нет.
                                      0

                                      Давайте подойдём с другой стороны. Вы бы поняли если бы пациентов начали перенаправлять в другие больницы в случае если бы отключилась внешняя электроэнергия?

                                        –1
                                        А что, там отключилась электроэнергия?
                                        Если пациент умер при транспортировки в другую больницу, значит ему требовалась некоторая срочная помощь, и её не осуществили. Явне не потому, что не было света.
                                          0
                                          Почитайте пожалуйста там внизу мой комментарий про электричество.
                                            0

                                            Вы на мой вопрос ответить то можете? Или это так сложно? :)


                                            И если пациент умер из-за того что транспортировка в больницу продлилась дольше чем могла бы, то не факт что его вообще смогли бы спасти в больнице с кучей неработающего оборудования.

                                              0
                                              Я как то попадал в такой случай. Привезли на скорой и вкололи несовместимый препарат, т.к. пациент(т.е. я) был не в состоянии вспомнить все таблетки которые пьёт, какие есть аллергические реакции и т.п. Итого несколько лет комы.
                                              А была бы электронная карта(а не бумажная которая находится только в одной больнице и вечно теряется), такого бы не произошло.
                                                0

                                                Ну такое на данный момент в Германии тоже далеко не у всех есть в электронном виде.


                                                Но такое здесь как минимум на моей памяти всегда регулировлось в бумажном. То есть я до сих ношу с собой такой бумажный "медицинский паспорт", в котором такое прописано. И врачи всегда спрашивают/проверяют есть ли он у меня если есть вероятность опасной несовместимости/непереносимости.

                                          0
                                          Её повезли в другую больницу потому, что там могли оформить, а здесь нет.
                                            0
                                            То есть если на улице обнаруживают человека без сознания, без документов, без мобильного телефона, соответственно его личность неизвестна, в критическом состоянии (при смерти) то его просто отсылают сразу в морг потому что невозможно оформить?! По-моему, вы заблуждаетесь в принципах экстренной медицинской помощи.
                                              0
                                              Нет конечно, его оформляют, как «неизвестного», заводят персональную карту и начинают делать процедуры и назначения, занося их в карту. А когда установят личность, занесут в карту и её.
                                                0

                                                Ну я бы сказал что в эти самые "принципы" вполне себе попадают решения о том в какой больнице человеку окажут помощь лучше всего. И иногда это совсем не обязательно ближайшая больница.

                                  0
                                  Не сейчас, а уже давно, лет так 20 минимум.
                                    –1
                                    Томографы/рентгены работают через очень специальные компьютеры, которые просто так даже в страну ввезти нельзя. Они не включаются в общие сети, они обезперебоены персонально, большинство просто не позволяет вводить данные кроме как с кнопок и трекбола…
                                      0

                                      Зато "выводить" позволяют.


                                      В любом случае мне однозначно уже делали МРТ и пока везли к врачу на каталке он уже получал результаты на свой компьютер. И я очень сомневаюсь что там где-то наперегонки с нами бежала какая-то медсестра с каким-нибудь usb стиком чтобы их ему принести…

                                        0

                                        Не обязательно бежать с флэшкой, можно вытащить из компа МРТ и вставить в комп рабочий, который в сети поликлиники.

                                          0
                                          Должны существовать односторонние протоколы, предназначенные строго для выгрузки данных. Разумеется с хеш суммой и дублированием.
                                            0

                                            Должны, Therac-25 тоже должен был лечить людей.

                                            +1

                                            А можно просто "комп МРТ" подключить к сети и всё. Зачем усложнять?

                                      +3
                                      Сами по себе компьютеры для экстренной помощи не очень-то нужны. А вот для проверки наличия ресурсов, их мобилизации в нужной точке и в нужное время и прочих подобных нужд в последнее время они активно используются. В нынешние времена загрузка больниц не то чтобы маленькая, и контролировать ресурсы приходится серьёзно. А для перехода на более устойчивые к компьютерным угрозам технологии нужно время, которого в данном случае, судя по всему, просто не было.
                                        +6
                                        В больницах уже куча всего автоматизировано и завязано на компьютеры. Например банально с папочками с историей болезни уже давно никто не бегает и всё со станции на станцию и из палаты в палату передаётся в электронном виде. Все приборы вроде МРТ завязаны на сеть и все данные пишут прямо туда. Выдача медикаментов контролируется тоже электронно. И так далее и тому подобное. Всё это обратно перестраивать это работа на недели если не на месяцы.

                                        А если работать в «аварийном режиме», то точно так же высока вероятность что кто-то из-за этого умрёт.

                                          +8
                                          Да есть даже более простые моменты (не знаю, правда, как по ситуации в Германии). Пример: скорая везёт пациента с политравмой (т. е., нужна немедленная помощь разнопрофильных спецов), по пути связывается с госпиталем и докладывает расчётное время прибытия (пусть будет через 10 минут). Медсестра, принявшая вызов, нажимает на компьютере несколько кнопок, и всем необходимым свободным дежурным врачам на пейджеры уходит сообщение — мол, через 10 минут быть, например, в emergency room 2, которая на данный момент тоже свободна и ждёт. А сестринская команда там сразу начнёт включать приборы, готовить расходку и т. п. Без этой инфраструктуры соответствующих сотрудников придётся обзванивать, на что уйдёт куда больше времени — всех могут и не успеть собрать.
                                            0
                                            Вы не правы. Никакое спец мед. оборудование не включается в сети. Расписание, медкарты, рецепты — пожалуйста, но мед. оборудование сугубо самодостаточно как аппаратно, так и софтово.
                                              0

                                              То что оно может работать без сети в принципе не означает что оно не может быть интегрировано в сеть. И что процессы не поставлены так что без сети от этого оборудования пользы не особо много.

                                                0
                                                Вот только через ком-порты обмениваться можно условно результатами 10^6 КОЕ/мл.
                                                А вот когда твой анализатор выдаёт отчёт на 20 листах в виде пдф или распечатки, то ваши варианты какие? На флешке переносить до компа с ИС?
                                                Так через флешку и заразите и комп анализатора.
                                                Думаю, что рентгеновские снимки тоже через ком-порты передавать проблематично.
                                                Более того, чтоб оператор имел доступ к ИС (медицинской или лабораторной) — вам придётся поставить ещё один комп, ещё один монитор и плюс вторые клаву с мышкой, причём для всяких рентгенов — это будет непростой монитор.

                                                В итоге часть вещей таки подключают к внутренней сети. Взгляд из лаборатории.
                                            +1

                                            Письмо от 30 августа об атаке на сеть лабораторий медицинских анализов. Возможно, только Екатеринбург. Не смертельно, но неприятно.


                                            Важная информация!

                                            Федеральная сеть лабораторий СИТИЛАБ подверглась массированной вирусной атаке.

                                            В настоящее время идет работа по восстановлению работоспособности всех информационных систем.

                                            Прием биоматериала временно приостановлен до 2 сентября. О возобновлении работы розничной сети будет сообщено дополнительно.
                                              0
                                              Письмо от 30 августа об атаке на сеть лабораторий медицинских анализов. Возможно, только Екатеринбург. Не смертельно, но неприятно.
                                              Да нет, это далеко не первый случай, когда медлаборатории налетали на подобное. Но с учётом, что московское отделение так же сбойнуло — явно не только Ект пострадал.
                                              PS. Вспомнил, в 17 году Инвитро тоже встречало. Шифровальщик, если не ошибаюсь.
                                              –2
                                              Нисколько не оправдываю вымогателей, но тут явный косяк админов. Для защиты от вирусов достаточно простейших админских навыков: блокирование usb-портов, ограничение юзерских прав, организация доверенной vpn с изоляцией от недоверенного интернета, организация быстро восстанавливаемых бэкапов. Это крупная больница, там должна быть (и наверняка есть) штатная ИТ-служба.
                                                –1
                                                Достаточно просто включить политику ограниченного использования программ в Default Domain Policy. Не понимаю, почему админы не пользуются этим простейшим инструментом, которому уже лет 20, если не больше.
                                                  0
                                                  Там как бы есть лист известных байпассов, новые веселые эксплойты и прочее каждый день выходят, нужно патчить и тд. Их не оправдываю, но это немалый проект, нужны опыт, люди, бюджет.
                                                    +1
                                                    Если это не ручная атака, то да защищает на процентов 90% (если также не будут игнорироваться, права пользователя и обновления). А вот с ручной уже не поможет.
                                                      0
                                                      Можно использовать редкий байпасс, про который забывают. Или очень свежий, аля скачивать файлы самим Дефендером.
                                                        0
                                                        Можно каких нибудь ссылок, особенно было б интересно про дефендер?
                                                        А то я не очень про что речь идёт (.
                                                          +1
                                                          Тоже не понял про дефендер. Но политика ограниченного использования программ работает довольно просто и эффективно.
                                                          www.vostokit.com/windows-server2008-gpedit
                                                            0
                                                            Прям по Вашей ссылке куча программ, которые позволяют выполнить произвольный код — lolbas-project.github.io. Самое очевидное rundll.
                                                              0
                                                              Rundll не сработает, если переключить область применения политики на «ко всем файлам программ». Что касается Вашего списка дырявых системных файлов, то их всех можно перечислить в разделе «дополнительные правила», назначив уровень безопасности «не разрешено». Настраивается один раз на контроллере домена.
                                                              P. S. Все зловреды, которые мне попадались, это были обычные .exe или .js файлы в архиве, которые приходили по почте под видом какого-нибудь документа. Так что даже простое включение политики ограниченного использования программ защитит от подавляющего большинства шифровальщиков.
                                                                0
                                                                Вы правы, ограничить можно все. А если использовать более современные ОС, аля 10, можно вообще основательно все закрыть через Device Guard, аттестацию хоста и тд. Проблема в двух вещах: нужно отладить правила для работающего софта и следить за новыми байпассами.
                                                                Про файлы охотно верю, детишкам тяжело поддерживать нормальную инфраструктуру. Для атакующего нормально слать линк, иметь категоризированный домен, пару редиректоров, имплант исполняемый в памяти и тд.
                                                                Согласен, наличие политик, лучше их отсутствия, но это не панацея на все случаи жизни.
                                                      –1
                                                      <sarcasm>Есть ещё более эффективные и не менее простейшие навыки защиты от вирусов — отключить всем компьютерам-серверам питание, на соответствующие коммутационные аппараты повесить таблички «Не включать, работают люди» — и пусть люди работают с бумажными журналами и телефонной связью. Электрики штатные у больницы тоже должны быть...</sarcasm>
                                                        0
                                                        и пусть люди работают с бумажными журналами
                                                        В хорошей шутке — только доля шутки. Бумажные копии журналов — вполне годная идея на случай землетрясения, бомбёжки, электромагнитной вспышки и т.п.
                                                        0

                                                        Не знаю, насколько это правда, но, судя по тексту, вымогатели и не вымогали ничего. Преступники передали ключ дешифрования полицейским, когда узнали, что атаковали больницу.


                                                        Так что их действия можно кваливицировать, как мелкое хулиганство.

                                                        +1
                                                        Ошибся веткой.
                                                          +3
                                                          Вот смотрите.

                                                          В больнице отключается электричество: авария на подстанции. Умирает пациент от отказа, допустим, аппарата искусственного дыхания. Немедленно поднимается буча, которая затрагивает кого? Энергетиков? Нет. Она затрагивает руководство больницы: больница — объект особой группы первой категории электроснабжения (см. ПУЭ, п. 1.2.18) и отключиться в случае аварии на подстанции оборудование в ней не может.

                                                          Окей, возвращаемся в наш IT-мир. В больнице отключаются некие обеспечивающие IT-системы. Работа стоит, резерва нет, возврат на старые системы, как тут пишут в комментариях, займёт месяцы. Кто же виноват?

                                                          Говорят, виноваты хакеры. А руководство больницы всё в белом и куча народу их защищает, в том числе и тут в комментариях.

                                                          Алло.

                                                          Судя по неким сопутствующим событиям, вирус-шифровальщик пришел в больницу через уязвимость в citrix CVE-2019-19871. Уязвимости, как несложно заметить по номеру, без трёх месяцев год. За это время больничное IT или подрядчик должен бы был исправить эту проблему. Иди речь, например, о нерабочем дизель-генераторе, ответственные специалисты как раз объясняли бы своё бездействие следователю.

                                                          Любой вирус-шифровальщик проходит легче, если вы делаете бэкапы. Если у вас есть бэкапы тех «тридцати северов» (цитата из первоисточника) и к этим бэкапам — дизастер рекавери план, то борьба с шифровальщиком заканчивается за часы, а не продолжается неделями. А если у вас нет бэкапов, то кроме шифровальщика вас поджидает множество других проблем. Умершие диски, например.

                                                          Если у вас окажется не подключена требуемая по ПУЭ вторая (резервная) линия от второй подстанции — вам после смерти пациента предстоит объяснять причины следователю. Если нет бэкапа IT-систем, вы просто пишете пресс-релиз про хакеров и опять вы в белом.

                                                          И так далее
                                                            0

                                                            Вот товарищ правильно сечет фишку.

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое