Аналитики «Лаборатории Касперского» сообщили о целевых атаках на медицинские организации в южных регионах России. Преступники используют неизвестный ранее троян CloudMid для кражи финансовых документов, включая счета-фактуры, контракты и направления на дорогостоящее лечение.

По словам специалистов, авторы шпионской кампании свободно говорят по-русски, однако проживают за границей. Злоумышленники ориентируются на конкретные организации — вредоносные электронные письма получили сотрудники лишь некоторых медицинских учреждений в пострадавших регионах.

Обнаруженные атаки пришлись на весну-лето нынешнего года. Троян CloudMid распространялся под видом VPN-клиента одной из крупных российских IT-компаний.

Основной задачей новой вредоносной программы является сбор информации финансового характера. Зловред умеет отыскивать и копировать соответствующие документы, отправлять добычу на сторонний сервер, а также снимки экрана.

CloudMid-рассылки, по словам исследователей, — это знаковое явление, и российской медицинской отрасли нужно готовиться к усилению кибератак.

«Сфера здравоохранения начала интересовать киберзлоумышленников, в том числе организаторов сложных и скрытных целевых атак, — отметил Дмитрий Кузнецов, антивирусный эксперт «Лаборатории Касперского». — В данном случае атаки, хоть и не отличались хорошей технической проработанностью, но были целевыми, и злоумышленникам все равно удалось получить желаемое. Именно поэтому организациям из сферы здравоохранения стоит обучить сотрудников навыкам распознавания угроз, а также использовать надежные защитные решения».

Атаки на медицинские учреждения с использованием вредоносного ПО случаются нечасто — как правило, преступники используют зловреды-шифровальщики. В 2018 году такой инцидент вывел из строя оборудование в тюменской больнице, заставив специалистов заканчивать сложную операцию вслепую. За пределами РФ о подобных атаках сообщали представители сети лабораторий LabCorp, а также клиник в Техасе и Голливуде.

В тех случаях, когда взломщики не пытаются заразить медицинскую организацию вымогательским ПО, их целью является сбор информации об инфраструктуре. Эту цель преследует, например, бэкдор Orangeworm, который в 2018 году поразил крупные международные учреждения США, Европы и Азии. Эксперты также предупреждали об угрозе утечки важных данных через системные сообщения медицинских приборов. По их словам, преступники могут прослушивать эти уведомления, чтобы найти слабые места в защите и спланировать целевую атаку.

Категории: Вредоносные программы