После атаки криптоблокера, в результате которой калифорнийская больница почти две недели была недоступна онлайн, ее руководство решило заплатить злоумышленникам за ключ для расшифровки файлов.

Пресвитерианский медицинский центр Голливуда (Hollywood Presbyterian Medical Center, HPMC) отключил свои компьютеры от сети 5 февраля, после того как операторы зловреда потребовали 9 тыс. биткойнов (более $3 млн) за дешифрацию файлов, взятых в заложники.

В итоге, согласно заявлению HPMC, его подопечное лечебное учреждение провело платеж, но в гораздо меньшем объеме — 40 биткойнов (около $17 тыс.). Оправдывая эту уступку, гендиректор HPMC Аллен Стефанек (Allen Stefanek) отметил: «Самым быстрым и эффективным способом восстановления систем и административных функций в данном случае оказалась уплата выкупа за ключ для расшифровки. Мы пошли на это, чтобы вернуться к нормальной работе».

Заявление Стефанека удивило многих, но оно фактически подтвердило разумность рекомендаций ФБР, озвученных осенью Джозефом Бонаволонтой, помощником спецагента из бостонского офиса ФБР, ответственного за реализацию программы контрразведки и проведение операций в киберпространстве. «Честно говоря, мы часто советуем просто уплатить выкуп», — признал Бонаволонта, выступая на октябрьском саммите по кибербезопасности.

В январе прошлого года ФБР опубликовало свое первое предупреждение о вымогателях-шифровальщиках, назвав два наиболее актуальных на тот момент имени: CryptoLocker и CryptoWall. Жертвам заражения тогда рекомендовали обращаться за помощью в национальную CERT, работающую под эгидой министерства внутренней безопасности США. Эта группа быстрого реагирования даже создала специальную страницу для приема подобных обращений.

Уплата выкупа обычно считается плохим решением. Эксперты неоднократно отмечали, что такой шаг не гарантирует возврата файлов. Более того, платежи в данном случае лишний раз убеждают злоумышленников в том, что использование вымогательского ПО — очень выгодное предприятие.

На прошлой неделе в ходе конференции Kaspersky Security Analyst Summit вновь был поднят вопрос о плачевном состоянии информационной безопасности в сфере здравоохранения. Нередки случаи, когда подключенные к Сети медицинские устройства, используемые для диагностики и лечения, содержат уязвимости, для которых давно выпущены патчи; такое положение дел лишь усугубляет проблемы, связанные с атаками вымогателей.

Эксперт «Лаборатории Касперского» Йорнт ван дер Вил (Jornt van der Wiel) рассказал Threatpost о возможных последствиях злонамеренного вторжения в сеть медицинского учреждения: «Разработчики тратят много усилий, чтобы создать действительно полезную медицинскую технику, но при этом иногда забывают о компьютерной защите. Получив доступ к такому устройству, хакер может завладеть информацией о пациентах, курсах лечения, их персональными данными и т.п. Более того, он может попытаться нарушить работу этих устройств и перепрограммировать их, и тогда под угрозой окажутся здоровье пациентов, точность диагнозов и тому подобные вещи».

В прошлом году ван дер Вил вместе с сослуживцами помог голландским коллегам создать репозиторий ключей для расшифровки файлов, полоненных блокером CoinVault, а также участвовал в разработке специализированной утилиты для жертв заражения. Случай с HPMC эксперт назвал «тревожным трендом».

Ввиду вымогательской атаки врачи и административные работники голливудского центра были вынуждены отказаться от цифровых носителей. По словам репортера Los Angeles Times, медперсонал калифорнийской больницы снова взялся за перо и бумагу во время приема пациентов.

В своем заявлении Стефанек подчеркнул, что зловред уже вычищен из всех систем этого стационара и данные пациентов или служащих не пострадали. Однако при этом глава HPMC умолчал о том, что ФБР и полиция Лос-Анджелеса, первыми узнавшие об инциденте, все еще ведут расследование.

Категории: Вредоносные программы