За последний год FBI выявило не менее 16 атак с помощью программ-вымогателей Conti, нацеленных на системы здравоохранения США и службы быстрого реагирования, включая правоохранительные органы, службы экстренной медицинской помощи, диспетчерские центры 9-1-1 и муниципалитеты.
Эти сети здравоохранения и службы быстрого реагирования входят в число более чем 400 организаций по всему миру, ставших жертвами Conti, более 290 из которых расположены в США. Как и большинство вариантов программ-вымогателей, Conti обычно крадет файлы жертв и шифрует серверы и рабочие станции, чтобы заставить потерпевшего заплатить выкуп. В письме с требованием выкупа жертвам предлагается связаться со злоумышленниками через онлайн-портал для завершения транзакции. Если выкуп не выплачен, украденные данные продаются или публикуются на общедоступном сайте, контролируемом участниками Conti. Суммы выкупа сильно различаются, и, по нашим оценкам, они зависят от жертвы. Недавние требования о выкупе достигли 25 миллионов долларов.
Кибератаки, нацеленные на сети, используемые персоналом служб экстренной помощи, могут задерживать доступ к цифровой информации в реальном времени, увеличивая риски для безопасности служб быстрого реагирования и могут подвергнуть опасности население, которое рассчитывает на то, что вызовы в службу не задерживаются. Потеря доступа к сетям правоохранительных органов может ограничить возможности расследования и создать проблемы для судебного преследования. Атака на сети здравоохранения может задерживать доступ к жизненно важной информации, потенциально влияя на заботу и лечение пациентов, включая отмену процедур, перенаправление в незатронутые учреждения и компрометацию защищенной медицинской информации.
Технические подробности
Субъекты Conti получают несанкционированный доступ к сетям жертв через вредоносные электронные ссылки, вложения или украденные учетные данные протокола удаленного рабочего стола (RDP). Conti вооружает документы Word с помощью встроенных скриптов Powershell, сначала организуя Cobalt Strike через документы Word, а затем добавляя Emotet в сеть, предоставляя злоумышленнику доступ для развертывания программ-вымогателей. Злоумышленники находятся внутри сети жертвы в среднем от четырех дней до трех недель до развертывания вымогателя Conti, в основном с использованием динамически подключаемых библиотек (DLL) для доставки. Злоумышленники сначала используют инструменты, уже доступные в сети, а затем добавляют инструменты по мере необходимости, такие как Windows Sysinternals и Mimikatz, для повышения привилегий и горизонтального перемещения по сети перед удалением и шифрованием данных. В некоторых случаях, когда требуются дополнительные ресурсы, злоумышленники также используют Trickbot. После того, как злоумышленники Conti развернут программу-вымогатель, они могут оставаться в сети и передавать сигнал с помощью Anchor DNS.
Если жертва не отвечает на требование выкупа через два-восемь дней после развертывания программы-вымогателя, злоумышленники Conti часто звонят жертве, используя одноразовые номера для передачи голоса по Интернет-протоколу (VOIP). Злоумышленники также могут общаться с жертвой с помощью ProtonMail, и в некоторых случаях жертвы договариваются о сниженном выкупе. Подробности в отчете FBI.
По информации Американской ассоциации больниц (AHA), которая опубликовала на своем сайте предупреждение киберподразделения FBI. FBI просит немедленно сообщать в случае обнаружения какой-либо из индикаторов в своих сетях или у вас есть соответствующая информация.
Напомним, ранее 14 мая 2021 года Исполнительный орган службы здравоохранения Ирландии (HSE) подвергся атаке программы-вымогателя Conti, которая затронула несколько служб в их сети. Вредоносная киберактивность была также обнаружена в сети Департамента здравоохранения (DoH) рано утром в пятницу (14 мая 2021 года), однако из-за развертывания инструментов в процессе расследования попытка запуска программы-вымогателя была обнаружена и остановлена. Считается, что эти атаки являются частью одной и той же кампании, нацеленной на сектор здравоохранения Ирландии. Правительство Ирландии считает, что кибератаку на сектор здравоохранения провела российская киберпреступная группировка Wizard Spider, базирующаяся в Санкт-Петербурге.