fbpx

Szpitale pod ciężarem koronawirusa i ataków hakerskich

Marek Lesiuk
Wirusy, ransomware i hakerzy Cyberprzestępczość

Podczas gdy służby zdrowia niemal wszystkich krajów świata bądź to uginają się pod brzemieniem epidemii, bądź to na taki scenariusz się szykują, bynajmniej nie jest to jedyna ich zmora. Do tego dochodzą bowiem mnożące się przypadki ataków hakerskich na sieci szpitalne i próby wykorzystania newralgicznej sytuacji do wymuszenia haraczy.

Zapewne trudno jest wyobrazić sobie istotniejszą infrastrukturę w okresie zarazy niż szpitale – od ich sprawności całkiem dosłownie zależy przeżycie wielu ludzi. Truizmem będzie jednak stwierdzenie, że gatunek ludzki, prócz jednostek wybitnych, prawych i uczciwych, niestety od zawsze wydawał z siebie także, parafrazując, odpady natury kloacznej. Reprezentaci ostatniej z wymienionych kategorii niefortunnie dają o sobie znać z sumienną regularnością. Czynią to także ostatnio, w czasie bieżącej epidemii – w niektórych przypadkach chciwość wydaje się bowiem trudniejsza do wyleczenia niż COVID-19.

Pomimo zatem krytycznego znaczenia placówek medycznych w walce z Wirusem Wuhan (a może właśnie z uwagi na tę istotność), cyberszantażyści posługujący się oprogramowaniem ransomware dokonali serii ataków na sieci szpitalne. Co więcej, newralgiczność sytuacji, jeśli pominąć obrzydzenie wobec takiej postawy, zapewniać im nawet może zwiększoną siłę nacisku.

18 marca portal BleepingComputer opublikował raport, w którym identyfikował „operatorów” ransomware’u. Wynika z niego, iż sposród tego etycznie obmierzłego grona, większość ze zidentyfikowanych w nim szantażystów (oraz nie wiadomo ilu niezidentyfikowanych) jak gdyby nigdy nic kontynuuje (bądź wręcz nasila) próby wymuszeń poprzez włamywanie się i blokowanie szpitalnych zasobów elektronicznych.

Oczywiście nie wszyscy. Jest też mniejszość – cyberprzestępcy zapewne zapatrzeni w Robin Hooda oraz podobne postacie. Ci stojący za atakami oprogramowaniem CLOP Ransomware oraz DoppelPaymer, najwyraźniej należący do tej właśnie grupy, zadeklarowali, że dla szpitali oraz podmiotów zaangażowanych w walkę z koronawirusem wspaniałomyślnie czynią wyjątek. Jak oświadcza wiadomość od tych pierwszych:

…nigdy nie atakujemy szpitali, sierocińców, domów opieki, fundacji charytatywnych, i [dalej] nie będziemy. Komercyjne organizacje farmaceutyczne nie kwalifikują się na tę listę; oni są [właśnie] tymi, którzy korzystają na obecnej pandemii…

podczas gdy drudzy z zainteresowanych oświadczyli, iż:

…zawsze staramy się unikać [atakowania] szpitali, domów opieki; jeśli chodzi o jakieś lokalne władze, nie ruszamy [obsługi] numerów alarmowych (…) ale jeśli chodzi o [przemysł] farmaceutyczny – oni teraz mnóstwo zarabiają na panice, [więc] my nie chcemy im pomagać. Kiedy lekarze coś robią, ci goście zarabiają…

Obydwie grupy zadeklarowały, że w przypadku zainfekowania sieci szpitalnych, za darmo je odblokują. To samo oświadczyli przestępcy wykorzystujący Nefilim Ransomware.

Jeśli jednak chodzi o tego rodzaju deklaracje, to – jako że te przecież nic nie kosztują, zwłaszcza jeśli są bez pokrycia – hakerzy stojący za ransomware Maze również zakomunikowali, że nie będą atakować podmiotów medycznych. Zdążyli jednak już od tego czasu opublikować dane wykradzione z laboratorium pracującego nad szczepionką przeciw wirusowi, należącym do firmy Hammersmith Medicines Research.

Pozostałe wymienione w raporcie cybergangi – te stojące za Ryuk, Sodinokibi/REvil, PwndLocker, Ako Ransomwarenajwyraźniej nie widzą w  swojej działalności problemu, nie dostrzegają też powodu, dla którego kwoty przez nich wymuszane miałyby zmaleć z uwagi na epidemię.

Ci kryjący się za Netwalker Ransomware raczyli nawet rozbrajająco stwierdzić, że i owszem, starają się unikać atakowania placówek medycznych. Ale jeśli im „nie wyjdzie”, i jakiś szpital mimo to znajdzie się w sytuacji wrogiego zaszyfrowania danych, to (jakżeby inaczej) będzie musiał im zapłacić. Cóż, bitcoiny nie śmierdzą. A jeśli ktoś przez ich atak umrze, to przecież prawdopodobnie nie oni, prawda?

Co więcej, pojawiły się także przestępcze inicjatywy wprost kpiące z walki z epidemią. W sieci pojawił się nowy wirus typu ransomware – nazwany, jakże na czasie, CoronaVirus – który rozsyłany, infekuje komputery w pakiecie z trojanem Kpot. Jak poinformował zespół programu MalwareHunter, który odkrył nowego wirusa, był/jest on dystrybuowany za pośrednictwem fałszywej strony, udającej oficjalne źródło do pobrania programu WiseCleaner.

W istocie postawy takie jednak nie powinny dziwić – aby parać się szantażem jako metodą wzbogacenia, niejako z założenia trzeba prezentować postawę nonszalacji i lekceważenia wobec dobra innych. Nietrudno także domyślić się, że ktoś wystarczająco inteligentny, by tworzyć i wykorzystywać ransomware, nie będzie jednocześnie na tyle głupi, by sądzić, że jakiekolwiek deklaracje (czy też akty „dobrej woli”) choć częściowo odwrócą od niego pogardę, żywioną doń przez wszystkich spoza jego półświatka.

Oczywiście, fakt newralgiczności sytuacji czy bezczelności wyłudzaczy nie sprawia, że należy się z takim podejściem pogodzić. Wprost przeciwnie, w sytuacji epidemii – jak to w sytuacji kryzysowej – troska o bezpieczeństwo cybernetyczne (podobnie zresztą jak to fizyczne) wydaje się ważniejsza niż kiedykolwiek.

Naprzeciw tym potrzebom wyszło kilka podmiotów zajmujących się bezpieczeństwem informatycznym. Amerykańskie firmy Coveware oraz Emsisoft, a także, niezależnie od nich, holenderska Cybersprint, ogłosiły, że będą oferować szpitalom darmowe usługi z zakresu walki z infekcjami komputerowymi. W szczególności będą one proponować analizę techniczną ransomware’u, w miarę potrzeb oraz własnych możliwości jego usunięcie, odszyfrowanie danych (a w pesymistycznym przypadku – próbę jak najpełniejszego ich odzyskania), a także pomoc w zabezpieczeniu systemu na przyszłość.

Pomoc ta ma szansę okazać się bardzo przydatną – jak wynika z informacji podanych przez SentinelOne, jeszcze inną firmę działającą w obszarze cyberbezpieczeństwa, w przeciągu marca doszło do co najmniej 10 ataków na sieci szpitalne.

Pełen raport portalu BleepingComputer dostępny jest na jego stronie.