Обычная работа некоторых учреждений сети клиник MedStar до настоящего времени прервана в результате серьезной кибератаки, которая произошла в понедельник. Подразделения одной из крупнейших медицинских организаций США в штате Мэриленд и Вашингтоне были вынуждены закрыть прием пациентов из-за компрометации компьютерной сети.

Руководство MedStar признало, что в результате атаки были отключены три основные системы, содержащие записи о пациентах, из-за чего врачи не имели доступа к информации о пациентах, а пациенты не могли записаться на прием. Как заявили в клинике, данные пациентов скомпрометированы не были, и системы постепенно начинают работать в штатном режиме.

«Сотрудники клиники уже получили доступ к медицинским записям и могут заказывать лекарства и процедуры через систему. Восстановление работы остальных систем осуществляется постепенно, в первую очередь — тех, которые имеют отношение к обслуживанию пациентов», — говорится в официальном заявлении MedStar.

Представители клиники официально не подтверждают факт вымогательства, хотя ряд СМИ, в том числе Washington Post, докладывают о том, что на экраны сотрудников выводились всплывающие окна с требованием выкупа за расшифровку клинических данных в размере 45 биткойнов ($19 тыс.).

MedStar — одна из нескольких клиник, попавших под прицел киберпреступников за последние месяцы. На прошлой неделе вымогатели пытались получить выкуп с Методистского госпиталя Хендерсона в штате Кентукки. Из-за атаки шифровальщика, поразившего системы больницы, работа учреждения на четыре дня была полностью парализована. Также в этом году Пресвитерианский медицинский центр Голливуда в Лос-Анджелесе заплатил 40 биткойнов ($17 тыс.) после того, как критические системы, содержащие записи о пациентах, были атакованы шифровальщиком.

«Медицинские учреждения не уделяют информационной безопасности такое внимание, как представители других отраслей, — комментирует Крейг Уильямс (Craig Williams), старший директор по безопасности в Cisco Talos. — Сотрудники медучреждений в первую очередь выполняют свою непосредственную работу — лечат больных. Безопасность ИТ-систем для них никогда не стоит на первом месте. Поэтому есть вероятность, что хакеры давно орудуют в этой отрасли и уже успели заметить, что множество больниц и клиник уязвимы для атаки».

Подробностей о самой атаке на MedStar практически нет, но специалисты Cisco Talos недавно обнаружили несколько новых образцов вымогателя под названием SamSam, которые ориентированы исключительно на медицинские организации. В отличие от традиционных вымогателей, которые попадают в систему, когда пользователь откроет вредоносное вложение или посетит зараженный сайт, этот вид вымогателя устанавливается в результате эксплуатации хакерами уязвимостей в серверах учреждения.

«Мы наблюдаем растущее разнообразие типов вымогателей и участившиеся атаки на медицинские учреждения», — подчеркнул Уильямс. Что касается SamSam, Уильямс заявил, что в Cisco Talos уже регистрировали атаки на другие клиники. Для того чтобы найти точку входа, злоумышленники пользовались JexBoss — открытым инструментом для пентестинга серверов приложений JBoss. Найденные таким образом уязвимости позволяют хакерам получить доступ к сети учреждения и загрузить SamSam в его инфраструктуру.

Другие представители ИБ-отрасли считают, что больницы все чаще становятся объектами атак из-за того, что хранят критически важные персональные данные. Кроме того, в отличие от компаний, работающих в области финансов или розничной торговли, в клиниках на кону стоят жизни людей, а не их деньги, и поэтому они с большей вероятностью пойдут на такой шаг, как выплата выкупа.

В февральском отчете о состоянии информационной безопасности в медицинских учреждениях, подготовленном Independent Security Evaluators, подчеркивается, что в клиниках плохо защищено все, от систем мониторинга состояния пациента и систем подачи лекарств до персональных данных.

«Больницы концентрируют усилия на выполнении рекомендаций HIPAA и не уделяют достаточно внимания защите от критических уязвимостей, эксплуатация которых может привести даже к смерти пациента», — подчеркнул в комментарии Threatpost Тед Харрингтон (Ted Harrington), управляющий партнер Independent Security Evaluators.

Но настроения в отрасли здравоохранения меняются. Так, по крайней мере, считает Том Хьюз (Tom Hughes), директор по альянсам и стратегическим решениям в компании, занимающейся системной интеграцией медицинских решений. Он также признает, что из-за ограничений в бюджетах представители клиник до этого считали приоритетной статьей расходов критически важные системы жизнеобеспечения, а не системы информационной защиты.

«Учреждения здравоохранения уже меняют свою точку зрения, — говорит он. — Теперь они понимают, что, если им придется выплачивать компенсации, назначенные судом в результате утечки данных или приостановки деятельности, они никогда не смогут позволить себе дорогущий компьютерный томограф, который стоит $70 тыс.».

MedStar не комментирует новость об атаке. Как говорится на официальном сайте сети, критические системы скоро будут функционировать в обычном режиме, а пока пациентам лучше записываться на прием очно и не рассчитывать на компьютерные системы.

Категории: Вредоносные программы, Уязвимости, Хакеры