Российские больницы уязвимы для вируса NetWalker. В США и Испании он частично блокировал работу госпиталей

Вирус-шифровальщик NetWalker, способный полностью заблокировать работу компьютера или сервера, уже нанес ущерб госпиталям в США и Испании. Владельцы вредоносной программы воспользовались ситуацией с пандемией коронавируса: они рассылали в больницы письма о ситуации с COVID-19 якобы от имени ВОЗ. Зараженные машины оказывались полностью заблокированными, и получить к ним доступ, не заплатив выкуп мошенникам, было невозможно. Операционные системы в российских больницах, куда помещают больных с подозрением на коронавирус (в том числе медцентр в Коммунарке), аналогичны тем, что использовались в пострадавших учреждениях.

Сервис Scamwatch Австралийской комиссии по вопросам конкуренции и защиты потребителей (ACCC) выявил порядка 100 случаев компьютерного мошенничества, связанного с коронавирусом.

«Мошенники выдают себя за официальные организации, такие как ВОЗ и министерство здравоохранения, или маскируются под легальный бизнес — туристические агентства или телекоммуникационные компании», — рассказала глава АССС Делиа Рикард.

Используя подобную маскировку, злоумышленники пытаются получить доступ к данным пользователя с помощью «вшитого» трояна. Ожидается, что число подобных незаконных проникновений в систему будет только расти. 

12 марта была совершена кибератака на окружную организацию здравоохранения в американском штате Иллинойс. В результате был взломан сервер госпиталя в районе Урбана-Шампейн (там расположен кампус Иллинойсского университета). О том, что в медучреждении проблемы, видно было даже по тому, что сайт организации оставался недоступным несколько дней. Но это только внешняя сторона проблемы. Хуже то, что был утерян доступ к файлам, содержащим информацию о работе учреждения. Сотрудники узнали о взломе в тот момент, когда остановить атаку было уже невозможно.

23 марта издание El Pais сообщило о попытке хакеров заблокировать компьютеры испанских больниц. В обоих случаях злоумышленники действовали по одинаковой схеме: отправляли медицинским работникам письма, содержащие текст с «подлинной информацией» о COVID-19. Но единственной подлинной вещью в письме был компьютерный вирус NetWalker Ransomware.

Ransomware — тип вирусов-вымогателей, которые блокируют доступ к компьютерной системе, зачастую с помощью шифрования файлов. В случае с NetWalker к письму прилагается вредоносный исполняемый файл CORONAVIRUS_COVID-19.vbs. Когда получатель открывает его, вирус запускается и шифрует файлы на компьютере. На экране вы видите надпись «Эй! Ваши файлы были зашифрованы Netwalker», сообщение о том, что для расшифровки файлов требуется заплатить выкуп, и инструкции по совершению платежа через биткойны.

Вирус NetWalker вставляет вредоносный код в процесс explorer.exe (проводник Windows) через встроенный API — такая техника атаки называется Process Hollowing. На данный момент далеко не все антивирусы могут обнаружить или удалить NetWalker. Не существует и программ для расшифровки файлов, которые могли бы восстановить их. Несмотря на то что данные могут быть восстановлены из резервных копий, подобные атаки способны привести к серьезным сбоям в работе больниц.

Правда, из-за ситуации с коронавирусом сразу несколько хакерских группировок обещали не атаковать медицинские учреждения на время пандемии COVID-19. Более того, они заявили о готовности помогать расшифровывать файлы, если возникнет такая необходимость.

Но когда журналист интернет-издания Bleeping Computer поинтересовался у создателей вируса NetWalker, будут ли они помогать с расшифровкой файлов тем больницам, которые пострадали от их продукта, те дали исчерпывающий ответ:

«Если кто-то оказался зашифрован, то он должен будет заплатить за расшифровку».

Создатели вируса также отметили, что у них не было цели атаковать именно больницы. Они назвали это совпадением.

Утверждать, что опасный компьютерный вирус обойдет стороной российские больницы в самый разгар эпидемии, нельзя. По информации сразу нескольких врачей, большинство больниц в той же Москве «сидит» на компьютерах с установленной системой Windows.

«Почти везде «винда». Знаю про три больницы точно [что они используют систему Windows]. Называть их для публикации не буду: это хорошие места. Ни одна больница не захочет никакого упоминания в прессе в свете последних событий. Даже самого маленького упоминания», — рассказал Daily Storm один из столичных врачей.

NetWalker опасен в первую очередь для информационных систем больниц, где могут храниться данные о пациентах. Так как не все медицинское оборудование имеет свою систему, некоторые аппараты «привязаны» к обычным ПК. Например, когда вам делают флюорографию — снимок ваших легких зачастую приходит врачу на его персональный компьютер.

«Для аппаратов ИВЛ (искусственной вентиляции легких) опасности нет, скажу сразу. Не будет такого, что вас привезут в больницу и не смогут оказать необходимую помощь. В случае подобного заражения сервера проблемы скорее возникнут с результатами анализов и доступом к вашей истории болезни. В этом нет ничего хорошего, но, повторюсь, необходимую помощь вам смогут оказать», — продолжает собеседник Daily Storm.

В зоне риска (в нее попадают учреждения, использующие систему Windows) оказались и больницы, принимающие пациентов с подозрением на коронавирус. 

Главный бастион борьбы с COVID-19, городская клиническая больница №40 в Коммунарке, судя по закупке 2019 года, использует офисное программное обеспечение от Microsoft, которое не применяется на Linux. По такому же принципу можно отследить, какая система установлена на компьютерах в инфекционной клиническая больница №1 ДЗМП — в 2016 году там приобретали программное обеспечение совместимое с Microsoft Excel.

ГКБ №67 и НИИ скорой помощи имени Склифосовского использует программный продукт «ПАРУС – Бюджет 8» — систему автоматизации управления, учета и анализа финансово-хозяйственной деятельности организации. Судя по аппаратно-программным требованиям, на рабочих местах должна быть установлена операционная система Windows.

«Шифровальщик NetWalker активен с конца 2019 года. Изначально его операторы атаковали преимущественно индивидуальных пользователей, но затем переключились на корпоративные сети. Шифровальщик распространяется по модели RAAS (Ransomware-as-a-Service), но среди ограниченного числа партнеров. Так как за ним стоят русскоговорящие злоумышленники, атаки на инфраструктуру РФ маловероятны, поскольку у злоумышленников из России есть негласное правило: не атаковать цели в России, где риск быть пойманными и привлеченными к правосудию для них выше, чем за рубежом», — рассказал Daily Storm ведущий специалист по компьютерной криминалистике Group-IB Олег Скулкин.

По его словам, распространяться NetWalker может любыми способами: не только через фишинговые письма, но и через наборы эксплойтов, уязвимые приложения, доступные извне, иные трояны и т.п. — все зависит от возможностей конкретной группы, принимающей участие в программе.

«Совсем недавно эксперты Group-IB обнаружили на русскоязычных андеграунд-форумах посты, предположительно, написанные создателем шифровальщика. 19 марта пользователь с ником Bugatti опубликовал пост, в котором сообщил, что он ищет напарников для распространения шифровальщика. По его словам, он искал людей, которые работают «на качество, а не на количество», для того чтобы атаковать крупные сети. Спустя небольшой промежуток времени появились первые новости о заражениях шифровальщиком NetWalker», — говорит Олег Скулкин.