LabCorp раскрыла подробности недавней кибератаки

Компания рассказала, как смогла отразить удар шифровальщика SamSam и какие уроки вынесла из инцидента.

Крупнейшая в мире сеть медицинских лабораторий LabCorp раскрыла подробности атаки на свою инфраструктуру, о чем стало известно 18 июля. Компания столкнулась с шифровальщиком SamSam, однако ее сотрудникам удалось быстро локализовать угрозу и спасти данные клиентов от утечки.

Как следует из комментария LabCorp изданию Salted Hash, специалисты корпоративного ИБ-центра обнаружили подозрительную активность утром в субботу 14 июля. Эксперты определили тип угрозы и отключили ряд информационных систем от сети, чтобы блокировать распространение шифровальщика. Вследствие этого клиенты временно потеряли онлайн-доступ к результатам анализов.

Менее чем за час сотрудники LabCorp смогли остановить атаку. За это время зловред успел поразить 1,9 тыс. серверов и 7 тыс. работающих с ними систем. Весь ущерб пришелся на диагностическое подразделение LabCorp.

Представители компании подчеркнули, что расследование не обнаружило признаков хищения конфиденциальной информации: в ходе атаки данные с зараженных компьютеров не отправлялись в Сеть. Традиционно для SamSam, он проник в инфраструктуру через незащищенный протокол удаленного доступа (Remote Desktop Protocol, RDP).

Шифровальщик SamSam атакует отрасль здравоохранения с 2015 года. В отличие от большинства троянов-вымогателей, он направлен не на индивидуальных пользователей, а на уязвимые IT-инфраструктуры. Медицинские организации, которые зачастую работают на устаревшем программно-аппаратном обеспечении, — идеальная цель для такого зловреда.

По оценкам экспертов, доход преступной группы, стоящей за SamSam, измеряется сотнями тысяч долларов. В январе только одна американская клиника сообщила, что заплатила преступникам $55 тыс. за разблокировку данных.

Создатели шифровальщика активно работают над своим продуктом, затрудняя специалистам борьбу с SamSam. В последних версиях программы эксперты обнаружили встроенный пароль, без которого невозможно запустить вымогатель и изучить его код.

Ранее аналитики сообщали, что протокол удаленного доступа все чаще применяется для доставки шифровальщиков. Среди них — LockCrypt, DMA Locker и Bucbi.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля