Ransomware atakuje sieć domów starców w USA (mają 80 000 komputerów). Żądają ~50 milionów PLN okupu. Zagrożenie życia pacjentów.

O temacie donosi Brian Krebs, a sytuacja jest o tyle nieciekawa, że może wręcz doprowadzić do przedwczesnej śmierci niektórych pacjentów:

The ongoing attack is preventing these care centers from accessing crucial patient medical records, and the IT company’s owner says she fears this incident could soon lead not only to the closure of her business, but also to the untimely demise of some patients.

Związane jest to zarówno z problemami z podawaniem leków (niedostępne bazy zawierają historię pacjenta / przepisane dawkowanie / sprawy związane z uczuleniami, itp), ale wskazane też są problemy z brakiem rozliczeń z Medicaid – co może oznacza wyrzucenie pacjenta do tego bez przekazania mu całej kartoteki medycznej („bo ransomware”).

Obecne żądanie okupu wynosi $14 000 000, kto wie może firma będzie negocjować kwotę. Na razie próbują przywrócić z backupów to co się da.

No właśnie, co z backupami? To się okaże, choć rokowania nie są idealne. System został zakażony Ryukiem, o którym pisaliśmy niedawno. Przypomnijmy w takim scenariuszu ransomware to tylko jeden z problemów. Najczęściej przestępcy najpierw dostają się do sieci (np. za pomocą standardowego malware, który uruchomił nieświadomie jeden z pacjentów – często wymienia się tu Emoteta czy Trickbota), później wykonują rekonesans, często przejmują też kontroler domeny i inne systemy. Ten etap czasem trwa miesiącami czy nawet latami (!).

Szukają też ręcznie backupów, które szyfrują. Na koniec szyfrują wszystkie komputery, żądając okupu adekwatnego do rozmiaru firmy. Zauważmy że nie jest to standardowa „głupia” infekcja. Tylko odpowiednio przemyślany, w dużej mierze ręcznie wykonany proces ofensywny.

Emotet w akcji

–ms