НХС Трустови широм Велике Британије стављени су на колена масовним сајбер нападом.
Неколико болница и ординација опште праксе биле су принуђене да угасе читаве своје ИТ системе током викенда, након што су се на екранима рачунара појавиле белешке о откупнини од хакера, претећи да ће избрисати све њихове фајлове у року од седам дана, осим ако не добије откупнину од 300 долара. битцоин валута је плаћена.
Многе операције које нису биле хитне су отказане, а погођене болнице су биле принуђене да преусмјере возила хитне помоћи у оближња одјељења хитне помоћи.
У међувремену, медицинари у чак 40 НХС организација нису били у могућности да приступе картонима пацијената и морали су да се врате на оловку и папир.
„Истрага је у раној фази, али верујемо да је варијанта малвера Ванна Децриптор“, рекао је портпарол НХС у саопштењу у петак.
(Слика: МалвареТипс)
„У овој фази немамо никакве доказе да се приступило подацима о пацијентима. Наставићемо да радимо са погођеним организацијама да то потврдимо.
Лацеи Турнер хотел ццтв
„НХС Дигитал блиско сарађује са Националним центром за сајбер безбедност, Министарством здравља и НХС Енглеске како би подржао погођене организације и препоручио одговарајућа ублажавања.“
Дакле, ко стоји иза напада? ево шта знамо до сада:
Откупнина је веома мала
Неколико стручњака за безбедност је истакло да је откупнина која се тражи веома мала, сугеришући да се ради о насумичном нападу, а не о циљаном.
„Ако сајбер криминалац може да утиче на толико система одједном, зашто не затражити много новца?“ рекао је Давид Емм, главни истраживач безбедности у Касперски Лаб.
НХС Енглеска прогласио је велики инцидент након широко распрострањеног сајбер напада (Слика: Момент РФ)
Винс Ворингтон, директор заштитне обавештајне службе, додао је: „Веома ниска вредност тражене откупнине би могла да укаже на то да је ово опортунистички напад, а не онај који има велики степен контроле.
„Очекивао бих да софистицирана сајбер криминална банда тражи већу откупнину.“
НХС није једина погођена организација
Ванна Децриптор рансомваре - такође познат као ВанаЦрипт0р 2.0 или ВаннаЦри - проширио се невероватно брзо, са 57.000 детекција широм света до сада, према компанији за сајбер безбедност Аваст .
Шпански телекомуникациони гигант Телефоница је погођен, као и друге велике међународне компаније као што је ФедЕк.
НХС Труст Унитед Линцолнсхире Хоспиталс отказује неке термине за викенд због напада (генеричка фотографија) (Слика: Дигитал Висион)
Ово појачава сугестију да хакери нису посебно циљани на НХС.
„Рани извештаји показују да потиче из Европе и утиче на здравствене организације, болнице, лекарске ординације, телекомуникационе системе, као и на гас и електричну енергију“, рекао је Адам Мајерс, стручњак за безбедност у ЦровдСтрике .
Додао је да су хакери вероватно масовно слали е-маилове за крађу идентитета, са приложеним .зип датотекама које се представљају као фактуре, понуде за посао, безбедносна упозорења или обавештења о недостављеним имејловима.
Да ли су то Руси?
Нападе ових размера често пропагирају стране владе, али овај напад не носи обележја напада националне државе.
Као прво, чини се да група која стоји иза напада није избирљива у погледу нације или сектора на који циља. Русија је једна од најтеже погођених земаља, према безбедносним истраживачима компаније Касперски, са око 1.000 рачунара у руском Министарству унутрашњих послова.
Такође је необично да непријатељске владе користе рансомваре – пошто је циљ напада националне државе обично прикупљање обавештајних података летећи испод радара, а не финансијска добит.
„Знаци не упућују на типичан напад националне државе као што је Русија или Кина, јер се ради о прекиду за мали финансијски принос“, рекао је Дан Рејвуд, уредник часописа Инфосецурити Магазине.
„Уместо тога, не бих се изненадио да је ово нападач или група мањег кључа, која се дочепала неког веома ефикасног рансомваре-а.“
Ко онда?
Иако се још увек не зна ко стоји иза напада, сматра се да је рансомваре ушао у мреже НХС искоришћавајући рањивост у Мицрософтовом оперативном систему Виндовс.
Организација позната као Екуатион Гроуп, за коју се увелико сумња да има везе са Агенцијом за националну безбедност САД (НСА), тајно је креирала хакерски алат дизајниран да искористи ову рањивост, названу „ЕтерналБлуе“.
ЕтерналБлуе је некако доспео у руке хакерске групе под називом Схадов Брокерс, која је процурила детаље на мрежи, чинећи га доступним свима.
(Слика: Гетти)
Јакуб Кроустек, шеф тима за обавештавање претњи у Аваст-у, рекао је да ко год да је инсталирао рансомваре Ванна Децриптор вероватно је користио ЕтерналБлуе експлоатацију да то уради.
Да ли је крив Мајкрософт?
ЕтерналБлуе циља на рањивост у Мицрософтовом мрежном протоколу под називом СМБ.
Дан након што је експлоатација ЕтерналБлуе процурила на мрежи, Мицрософт је објавио ажурирање софтвера како би поправио рањивост.
Међутим, професор Алан Вудвард, стручњак за безбедност са Универзитета у Сарију, истакао је да нико ко користи застарелу верзију оперативног система Виндовс, не би имао користи од закрпе.
НХС је погођен великим сајбер нападом на своје компјутерске системе (Слика: ПА)
„Вирулентност је вероватно зато што неке организације или нису примениле закрпу коју је објавио Мицрософт, или користе застареле оперативне системе (као што је КСП) које Мицрософт више не подржава и стога закрпа не постоји“, рекао је он.
Према Британски медицински часопис , до 90% НХС рачунара и даље користи Виндовс КСП. Могуће је да је рансомваре ушао преко једног од ових рачунара.
Џоди Марш пре операције носа
„Сигуран сам да смо сви видели рачунаре са оперативним системом Виндовс КСП у болницама широм земље“, рекао је Ендру Барат, директор компаније Цоалфире.
„Пошто Мицрософт више не закрпи рачунаре, врло је вероватно да су ови уређаји незаштићени и потенцијално препуни рањивости које би сајбер криминалац могао да искористи.
„Са преоптерећеним буџетима, НХС је стално под надзором како би максимизирала своја улагања, а то често може значити умањивање приоритета безбедносне заштите и ИТ подршке, остављајући их потпуно изложеним и на милост и немилост великом нападу рансомвера.“
Мицрософт је сада предузео корак без преседана издавања закрпе за Виндовс КСП и друге старије оперативне системе.
„Ова одлука је донета на основу процене ове ситуације, са принципом опште заштите нашег екосистема купаца, чврсто на уму“, рекла је компанија купцима у блог пост .
Шта ради Ванна Децриптор?
Ванна Децриптор се дистрибуира путем нежељене е-поште и лажних огласа, који кориснике преваре да преузму вирус на свој рачунар.
Затим почиње креирање шифрованих копија датотека на рачунару жртве и брисање оригинала, остављајући жртви само шифроване копије, којима се не може приступити без кључа за дешифровање.
Откупнина се тада не појављује на екрану жртве, захтевајући новац у замену за откривање кључа за дешифровање и враћање приступа захваћеним датотекама.
У случају НХС-а, порука је гласила: „Упс, ваше датотеке су шифроване! Можда тражите начин да повратите своје датотеке, али немојте губити време.'
Особље здравствене службе је речено да плати откупнину у року од седам дана или ће све на њиховим системима бити избрисано.
Стручњаци за безбедност верују да се рансомваре самопроширује, што значи да када се преузме на једну машину, шири се бочно на друге рањиве рачунаре на мрежи.
„За оне који се сећају раних 2000-их ово је црв – малвер који инфицира машину, а затим тражи друге рањиве хостове на истој мрежи или насумично скенира и тражи друге рањиве хостове за заразу“, рекао је Рич Баргер, директор истраживања претњи. код Сплунка.
Меиерс је додао: „Нисмо раније видели кампању рансомваре-а великих размера која користи технику самопропагирања у овом обиму, што је чини заиста јединственом.“
Рансомваре напад
Шта сад?
Погођене организације треба да одлуче да ли ће платити откупнину или не.
Стручњаци за безбедност упозоравају на ово, тврдећи да плаћање не гарантује да ће жртве повратити контролу над својим уређајима и фајловима.
„Неки оператери рансомвера ће одбити да откључају ваш уређај чак и након што платите, и захтеваће више новца или ће покушати да вас преваре на други начин помоћу финансијских информација које сте им дали“, рекао је Брајан Кенеди из америчке консултантске куће за безбедност иСигхт.
Ова порука се појављује на екранима НХС-а
Међутим, чини се да је неколико организација већ поклекнуло и платило. Према Блоцкцхаин веб локација , Битцоин адреса наведена у једној од порука о откупнини (на слици изнад) је примила 5 уплата у време писања.
Укупан износ који је до сада уплаћен је 0,65490604 Битцоин - вредан око 890 фунти.
Мало је вероватно да ће сви фондови НХС-а платити откуп, али ако одлуче да не, мораће да нађу други начин да поврате контролу над својим подацима.
Министарка унутрашњих послова Амбер Руд рекла је да би теоретски требало направити резервну копију њихових фајлова, чиме би захтеви за откуп били сувишни.
„Тамо где су подаци о пацијентима правилно направљени, што је било у већини случајева, посао може да се настави нормално јер се подаци о пацијентима могу преузети и људи могу да наставе са својим послом“, рекла је за Скај њуз.
Међутим, признала је да можда постоје „рупе“ у којима подаци нису направљени.
„Можда ће бити поука из овога“, рекла је она.
[дата-редесигн-ембед]' дата-приорити='1' дата-рец-типе='ВхатсХот' дата-соурце='хттпс://рецоммендатионс.дата.тм-авк.цом/фаллбацк/мостРеадЦханнел' дата-цоунт ='3' дата-дисплаи='лист' дата-нумберед='труе'>НајчитанијеНе пропустите
