Хакер, продающий в Дарквебе около 655 тыс. медицинских записей, скорее всего, получил к ним доступ через уязвимость в протоколе удаленного рабочего стола RDP, используемом в больницах.

Хакер под ником thedarkoverlord, по имеющимся у ресурса Deep Dot Web данным, проник в сети медицинских учреждений и похитил базы пациентов.

Одна из баз, украденная из учреждения в Фармингтоне, Миссури, содержала около 48 тыс. записей о пациентах в незашифрованном виде.

«Незашифрованные логины и пароли были похищены из базы данных Microsoft Access, используемой во внутрикорпоративной сети», — заявил хакер.

Две другие базы содержали намного больше записей, 210 тыс. и 397 тыс. соответственно, и принадлежали больницам в одном из среднезападных штатов США и Джорджии. Данные в них также хранились в незашифрованном виде. Информация больницы в Джорджии была скомпрометирована из-за слабых паролей для доступа к сети, а база данных из больницы на Среднем Западе утекла из-за неправильной конфигурации сети, чем и воспользовался злоумышленник.

Хакер, очевидно, решил продать похищенную информацию после того, как связался с жертвами взлома. Они отказались платить выкуп за информацию об уязвимостях в системе, и тогда злоумышленник решил продать данные на черном рынке за довольно крупную сумму: скомпрометированные базы стоят от 151 биткойна ($100 тыс.) до 607 биткойнов ($395 тыс.). Лоты размещены на площадке TheRealDeal — той самой, на которой хакер Peace недавно продавал утекшие пароли от соцсетей «ВКонтакте» и Myspace.com.

По утверждениям продавца, он уже успел сбыть записи из базы больницы в Джорджии (по некоторым данным, это региональный офис организации Blue Cross Blue Shield) за $100 тыс., сообщает блог Tripwire.

Подробности о том, какую уязвимость в RDP использовал хакер, довольно скудны. Протокол позволяет получать удаленный доступ к компьютеру, чем обычно пользуются службы техподдержки. В мае злоумышленники провели атаку против корпоративных сетей, использующих публичные RDP-сервера. Определив сервера в сети, хакеры провели брутфорс-атаку, взломав слабые пароли и распространив по сети вымогатель Bucbi. Также несколько лет назад действовал ботнет, специализирующийся на брутфорсе. Его целью были слабозащищенные RDP-среды, содержащие информацию о платежных картах.

Согласно мнению экспертов, действия хакера могут служить живой иллюстрацией будущего программ-вымогателей.

«Это следующий этап развития криптолокеров: учитывая, что жертва может восстановить данные из резервных копий, злоумышленник предпочитает держать в заложниках конфиденциальные данные и просить за них выкуп», — считает Тревис Смит (Travis Smith), старший исследователь безопасности в Tripwire.

«Теперь жертва должна платить не только за восстановление данных, но и за то, чтобы данные не оказались на черном рынке. Подобный исход может сказаться на репутации компаний и привести к штрафам. Для пользователей это будет означать компрометацию критически важных и персональных данных», — сказал Смит. Эксперт подчеркнул, что, хотя большей частью программы-вымогатели вызывают беспокойство из-за необходимости восстанавливать данные, инциденты, подобные последнему, могут изменить представление о рисках ransomware-атак и побудить компании сконцентрировать усилия на предотвращении таких инцидентов.

Категории: Вредоносные программы, Уязвимости, Хакеры