Xakep #305. Многошаговые SQL-инъекции
Больница Hancock Health, расположенная в Индиане, заплатила более 55 000 долларов выкупа вымогателям, заразившим системы медицинского учреждения шифровальщиком SamSam.
Атака произошла еще на прошлой неделе, утром 11 января 2018 года. Сообщается, что преступники проникли в сеть больницы посредством Remote Desktop Protocol (RDP), используя учетные данные стороннего поставщика, и установили на компьютеры небезызвестного вымогателя SamSam. Согласно сообщениям местных СМИ, шифровальщик изменял имена пораженных файлов на «I’m sorry».
Заражение быстро распространилось на все медицинское учреждение, и вскоре сотрудникам Hancock Health вообще запретили включать компьютеры, чтобы сдержать дальнейшее распространение вируса. Хотя некоторые издания сообщали, что после атаки больница была вынуждена временно приостановить работу, это не совсем верно. На самом деле персонал продолжал работать, но вместо многих компьютерных систем приходилось использовать ручку и бумагу.
Интересно, что согласно информации местных СМИ и краткому официальному заявлению Hancock Health, медицинское учреждение имело все необходимые для восстановления данных резервные копии. Тем не менее, руководство больницы приняло решение заплатить злоумышленникам выкуп в размере 4 BTC (порядка 55 000 по курсу на тот момент). В администрации медицинского учреждения пояснили, что на полное восстановление информации из бэкапов ушли бы дни или даже недели, а оплата выкупа позволила решить проблему максимально быстро и эффективно.
В начале текущей недели Hancock Health вернула контроль над ранее зашифрованной информацию и возобновила нормальную работу. Расследованием инцидента в настоящее время занимается ФБР и сторонние киберкриминалисты.
Стоит заметить, что это далеко не первый случай, когда больницы подвергаются атакам через RDP. Так, в конце лета 2017 года в Шотландии от похожих атак пострадали сразу несколько медицинских учреждений.