HHS: программа-вымогатель Conti зашифровала 80% ИТ-систем HSE в Ирландии

Как предотвратить DDoS-атаку

Краткий отчет об угрозах, опубликованный Министерством здравоохранения и социальных служб США (HHS) в четверг, рисует мрачную картину того, как служба здравоохранения Ирландии, HSE, была перегружена и 80% ее систем были зашифрованы во время прошлогодней атаки программы-вымогателя Conti.

Это привело к серьезным сбоям в работе служб здравоохранения по всей Ирландии и раскрыло информацию о тысячах ирландцев, которые получили вакцины от COVID-19 до атаки после того, как примерно 700 ГБ данных (включая защищенную медицинскую информацию) были украдены из сети HSE и отправлены злоумышленникам. серверы.

Краткий отчет об инциденте, основанный на независимой проверке PwC после инцидента, проведенной по заказу Совета ВШЭ в июне 2021 года, показывает, что влияние этой атаки на ИТ-среду Вышки было в первую очередь вызвано отсутствием у организации готовность к такому инциденту.

«Во время инцидента у НИУ ВШЭ не было единого ответственного лица за кибербезопасность на уровне высшего руководства или руководства. Не было специального комитета, который обеспечивал бы руководство и надзор за кибербезопасностью и действиями, необходимыми для снижения подверженности НИУ ВШЭ киберрискам, — говорится в сообщении программы кибербезопасности HHS.

«Отсутствие форума по кибербезопасности в ВШЭ препятствовало обсуждению и документированию детальных киберрисков, а также способности выявлять и внедрять смягчающие меры. В ВШЭ не было централизованной функции кибербезопасности, которая управляла бы рисками кибербезопасности и средствами контроля».

Вдобавок ко всему, в HSE также не было развернутых решений для мониторинга безопасности, помогающих расследовать и реагировать на угрозы безопасности, обнаруженные в его ИТ-среде.

Это привело к отсутствию реакции на злонамеренную активность операторов Conti, которая была далеко не скрытой, поскольку маяки Cobalt Strike, развернутые на нескольких серверах ВШЭ, начиная с 7 мая 2021 года, обнаруживались антивирусными решениями конечных точек, а предупреждения игнорировались.

«Влияние программы-вымогателя на ИТ-среду, по сообщениям руководства ВШЭ, привело к шифрованию на 80%», — добавили в HHS.

«Воздействие программы-вымогателя на связь было серьезным, поскольку HSE почти исключительно использовала локальные системы электронной почты (включая Exchange), которые были зашифрованы и, следовательно, недоступны во время атаки».

К счастью, группа вымогателей Conti предоставила HSE бесплатный дешифратор для восстановления систем с добавленным предупреждением о том, что злоумышленники все равно будут продавать или публиковать украденные данные, если HSE не заплатит выкуп в размере 20 миллионов долларов.

«Мы предоставляем инструмент дешифрования для вашей сети бесплатно. Но вы должны понимать, что мы продадим или опубликуем много личных данных, если вы не подключите нас и не попытаетесь разрешить ситуацию», — заявила банда вымогателей Conti на переговорах. страница чата.

«ВШЭ известно, что был предоставлен ключ шифрования», — заявили тогда BleepingComputer в Министерстве здравоохранения Ирландии. «Однако необходимо провести дополнительные исследования, чтобы оценить, будет ли он работать безопасно, прежде чем пытаться использовать его в системах HSE».

Хотя инцидент привел к массовым сбоям в работе служб здравоохранения Ирландии, премьер-министр Ирландии Таосич Майкл Мартин заявил , что HSE не будет платить выкуп.

После атаки архив, содержащий образцы украденных файлов HSE, содержащих данные пациентов, был впоследствии загружен на сайт сканирования вредоносных программ VirusTotal.

Позже ирландский суд обязал VirusTotal предоставить любую информацию о подписчиках, которые загрузили или загрузили конфиденциальные данные (включая адреса электронной почты, номера телефонов, IP-адреса или физические адреса), украденные из национальной сети здравоохранения Ирландии.

Архив украденных данных ВШЭ был скачан подписчиками VirusTotal 23 раза, прежде чем сервис удалил его 25 мая 2021 года, сообщает The Journal.

Последнее обновление 04.02.2022