Подключенные к Интернету медицинские устройства, такие как МРТ-аппараты, компьютерные томографы, диализные насосы, все чаще подвергаются атакам хакеров, стремящихся украсть данные пациентов лечебных учреждений. Эти устройства — весьма перспективная мишень для атакующих, так как они редко защищены так же хорошо, как больничные ПК и серверы.

Исследователи из ИБ-компании TrapX Security установили, что неадекватная защита медицинских IoT-устройств послужила причиной возобновления активности почти вышедшего из употребления вредоносного ПО вроде сетевого червя Conficker, он же Kido и Downadup. В отчете, поименованном MEDJACK.2. Hospitals Under Siege («MEDJACK.2: медучреждения в осаде»), рассмотрено плачевное состояние защиты подключенных к Интернету устройств, работающих под управлением Windows XP или непропатченных Windows 7 и Windows 8, что делает их легкой мишенью для старомодных червей.

«Вредоносная программа, задействованная в данной атаке, была выбрана за ее способность атаковать давние уязвимости в Windows, — сказано в этом отчете TrapX. — Она позволила атакующим установить бэкдор внутри учреждения, который можно было использовать для запуска кампании и скрытного вывода данных, а также потенциально для причинения значительного ущерба посредством ransomware-атаки».

В 2009 году, в пору своего расцвета, Conficker, по разным оценкам, собрал под своими знаменами 9–15 млн зараженных Windows-компьютеров. Его код регулярно обновлялся, но лучше всего у него получалось взламывать пароли и приобщать машины пользователей к ботнету для рассылки спама и установки фальшивых антивирусов.

Как показал анализ, в новых образцах червя был улучшен функционал самораспространения по локальной сети, а также введена ориентация на определенные типы медицинских устройств. Распространяется оживший Conficker посредством вредоносных рассылок на адреса медперсонала целевых учреждений. Во время продвижения по сети зловред получает с C&C-сервера команды на установку дополнительного, «более сложного» вредоносного ПО.

«Несмотря на архаичность упаковщика, networm32.kido.ib оказался на поверку довольно сложным и способным «перепрыгивать» или перемещаться между сетями с большим успехом, — пишут исследователи. — Почти обезвреженный сетевой червь, неопасный для пропатченных Windows 7 и 8, а также новых операционных систем, эксплуатировал уязвимости в Windows XP для загрузки RAT (инструмента удаленного администрирования) с тем, чтобы атакующий смог загрузить сложные, современные компоненты для атаки».

В предыдущем отчете, за 2015 год, TrapX рассмотрела аналогичные атаки на медучреждения, но с тех пор появился новый тренд. «Устаревшие черви вроде Conficker начали использоваться в связке с более сложными зловредами, способными глубже проникнуть в больничную сеть и атаковать конкретные устройства, облегчающие доступ к записям о пациентах», — отметил Моше Бен-Симон (Moshe Ben-Simon), соучредитель TrapX.

Спрос на данные пациентов медучреждений в дарквебе быстро растет; такая информация, по словам Бен-Симона, ценится выше, чем номера кредиток. По оценке TrapX, запись о пациенте стоит $10–20, тогда как финансовый профиль — около $5. Дело в том, что, украв личностные данные пациента, злоумышленник сможет не только взять кредит от его имени, но также получить дорогие лекарства. «Страховка покрывает расходы при наличии рецепта, и злоумышленники могут перепродать лекарства на черном рынке», — пояснил Бен-Симон.

В конце июня в дарквебе были выставлены на продажу базы пациентов, украденные у медучреждений и совокупно содержащие порядка 655 тыс. записей. По свидетельству продавца, он получил к ним доступ через уязвимость в протоколе RDP.

Проведенное TrapX расследование новых заражений в больницах показало, что присутствие Conficker не породило никаких предупреждений от систем безопасности. Причиной заражения во всех трех случаях явилось наличие давней уязвимости. «Медицинские устройства — это «черные ящики», внутренние программные операции которых не видны ИБ-службе больницы, — пишут исследователи. — Они работают под устаревшими ОС, такими как Windows 7 или XP, которые чрезвычайно уязвимы и почти лишены защиты».

По словам Бен-Симона, используемые в медицине устройства представляют собой очень привлекательную мишень, так как они обычно соединены с массой другого уязвимого оборудования, открывающего доступ к данным пациентов. Согласно отчету TrapX, «атакующему нужно лишь благополучно установить бэкдор, отыскать и украсть данные или применить автоматизированные средства для запуска вымогательской атаки».

Категории: Аналитика, Вредоносные программы