В связи с тем, что Covid-19 распространился по всему миру и представляет собой серьезную проблему для медицинских учреждений, некоторые хакерские группы пообещали, что не будут атаковать медицинские организации пока пандемия будет продолжаться.
Недавно журналисты издания BleepingComputer обратились к некоторым хакерским группам, использующих вирусы-вымогатели (типа WannaCry) для получения выкупа от организаций по всему миру. В число этих групп входили Maze, DoppelPaymer, Ryuk, Sodinokibi/REvil, PwndLocker и Ako.
Операторы шифровальщиков DoppelPaymer и Maze объявили, что не станут атаковать медицинские учреждения до окончания пандемии коронавируса. Другие группировки, впрочем, не собираются играть в благородство.
В DoppelPaymer упомянули, что, как правило, они не нападают на больницы и дома престарелых и будут придерживаться этой политики во время глобального кризиса. Группа заявила, что в случае, если медицинская организация получит зашифрованные данные, жертва может связаться с ними по электронной почте или на веб-странице Tor, чтобы предоставить доказательства и получить инструменты для разблокировки компьютера.
Правда, акция невиданной щедрости хакеров не распространяется на фармацевтические компании. Представители DoppelPaymer считают, что фирмы зарабатывают на панике уйму денег, поэтому у хакеров нет никакого желания их поддерживать в этом.
Операторы шифровальщика Maze сообщили, что прекратит активность относительно любых медицинских организаций и учреждений вплоть до окончания пандемии. Также группировка Maze предложила скидки на расшифровку данных пострадавшим организациям.
В последние несколько недель произошло несколько инцидентов, связанных с хакерскими атаками на больницы. Министерство здравоохранения и социальных служб США подвергалось DDoS-атакам, которые, к счастью, не причинили ведомству большого ущерба.
На прошлой неделе в Чехии больничный комплекс при университете Брно оказался парализован шифровальщиком. Как раз в этой больнице проводилось тестирование на коронавирус. Была ли это целенаправленная атака или просто случайное заражение, неизвестно.
Исследователи кибербезопасности предупреждают, что только в период с 14 по 18 марта 2020 года злоумышленники создали более 3600 новых доменов, так или иначе связанных с коронавирусом. В основном такие сайты распространяют шпионское ПО или занимаются мошенничеством.
К сожалению, согласно данным Coveware, наиболее активными шифровальщиками на конец прошлого года были Sodinokibi, Ryuk и Phobos. Так что даже если группировки DoppelPaymer и Maze откажутся от атак, это мало повлияет на количество кибератак на медучреждения.
Между тем две компании, разрабатывающие антивирусное ПО, в частности, Emsmissoft и Coveware, объявили, что предоставят бесплатную помощь медицинским работникам во время вспышки эпидемии.
Emsmissoft также направила обращение к преступникам: "Мы также знаем, что вы — люди, и что ваша семья и близкие могут нуждаться в срочной медицинской помощи... Пожалуйста, не атакуйте медицинских работников в ближайшие месяцы, и если вы выбираете кого-то непреднамеренно, пожалуйста, предоставьте им ключ дешифровки бесплатно, как только сможете. Мы ведь все вместе в этом участвуем, так?"
Несмотря на то что среди шифровальщиков периодически попадаются исключительно сложные образцы, общая схема их работы весьма проста: зловред превращает файлы на компьютере жертвы в нечитаемые зашифрованные данные, после чего требует выкуп за ключи расшифровки.
Эти ключи создаются самими злоумышленниками и могут быть использованы для расшифровки файлов и возврата данных к первоначальному состоянию. Без ключа работа на зараженном устройстве невозможна. Вредоносная программа может распространяться самими создателями, либо же они могут продать ее другим злоумышленникам или своим партнерским сетям — "сторонним распространителям", которые делятся частью доходов от успешных атак с владельцами технологии.
В то время как некоторые "черные" хакеры и киберпреступные группировки заявляют, что действуют в соответствии с определенным "кодексом чести", в большинстве случаев злоумышленниками движет элементарная жажда наживы, и поэтому они наносят удары по жизненно важным службам, длительные перебои в работе которых недопустимы, — как в случае медицинских учреждений.
В отчете 2019 года компания Emsisoft заявила, что рост числа атак шифровальщиками происходит из-за слабых стандартов безопасности, отметив при этом, что "хотя в 2019 году 966 государственных служб, образовательных учреждений и поставщиков медицинских услуг пострадали от вирусов-вымогателей, ни один банк не сообщил об инциденте, связанном с шифровальщиками. Это не потому, что банки не являются мишенью, а потому, что у них более высокий уровень безопасности". Emsisoft добавила, что "если правительства не улучшат свою позицию в области кибербезопасности, ератаки на будут продолжаться".