Один из крупнейших поставщиков медуслуг в США стал объектом кибератаки

В минувшие выходные одна из крупнейших в США частных компаний, Universal Health Services (UHS), предоставляющая услуги в области здравоохранения, была вынуждена отключить свои компьютерные системы вследствие кибератаки. Под управлением UHS находится более 400 медицинских учреждений в США и Великобритании, компания ежегодно предоставляет медицинские услуги порядка 3,5 млн пациентов.

По сообщениям сотрудников компании, в результате атаки ряд медучреждений в Калифорнии, Аризоне, Техасе и других штатах остались без доступа к компьютерам и телефонным системам. Из-за инцидента больницы временно перестали принимать кареты скорой помощи и перенаправляют пациентов, нуждающихся в хирургическом вмешательстве в другие близлежащие медучреждения.

Как рассказал один из сотрудников UHS, в ходе атаки были отключены антивирусные программы, а затем начали отключаться и компьютеры.

Представители UHS подтвердили факт кибератаки, однако не раскрыли характер инцидента. Тем не менее, судя по сообщениям сотрудников, речь может идти о вымогательской атаке с использованием программы-шифровальщика Ryuk. На это указывают расширение .ryk, добавленное к зашифрованным файлам, а также фигурирующая в требовании о выкупе фраза "Shadow of the Universe" ("Тень вселенной") - похожие фразы встречались в предыдущих требованиях о выкупе операторов Ryuk.

Как считает ИБ-эксперт Виталий Кремез, системы UHS были инфицированы через фишинговые письма, содержащие троян Emotet, устанавливающий другой троян - TrickBot. Последний собирает информацию в скомпрометированных системах и используется операторами Ryuk для запуска обратной оболочки. Получив доступ к системе, злоумышленники запускают вымогательское ПО с помощью инструментов PSExec или PowerShell Empire.

В середине сентября Университетская клиника в Дюссельдорфе подверглась вымогательской атаке, ставшей причиной смерти пациентки. Предполагается, что к инциденту могут быть причастны хакеры из РФ.