Операторы Ryuk планируют обрушить лавину кибератак на больницы в США

В начале текущей недели журналист Брайн Кребс получил от проверенного источника информацию о том, что агрессивная группировка хакеров из России, специализирующаяся на вымогательском ПО, готовится вывести из строя информационные системы в сотнях медицинских учреждений США. В среду, 28 октября, эту информацию подтвердили ФБР и Министерство внутренней безопасности США. Оба ведомства организовали экстренный конференц-звонок с руководителями отрасли здравоохранения и предупредили их о «надвигающейся киберугрозе больницам и поставщикам медицинских услуг в США». В этот же день ФБР, Министерство внутренней безопасности и Министерство здравоохранения и социальных служб выпустило совместное предупреждение.

Менее чем за сутки до публикации предупреждения Кребс получил сообщение от основателя ИБ-компании в Милуоки Hold Security Алекса Холдена (Alex Holden). По словам Холдена, ему удалось ознакомиться с перепиской участников русскоязычной киберпреступной группировки Ryuk, в которой они обсуждали план развертывания вымогательского ПО в сетях более 400 учреждений здравоохранения на территории США.

«Они (участвовавшие в конференц-звонке ведомства – ред.) не предоставили никаких индикаторов компрометации, и их совет заключался лишь в том, чтобы “обновить свои системы и сообщать обо всем подозрительном”», – сообщил участвовавший в конференции медработник со стажем.

Однако другие участники конференции отметили, что индикаторы компрометации мало чем помогут пострадавшим от Ryuk организациям, так как для каждой отдельной жертвы операторы вредоноса используют разные инфраструктуры, начиная от загружаемых на атакуемые хосты исполняемых файлов Microsoft Windows и заканчивая C&C-серверами.

Тем не менее, ИБ-компания Mandiant опубликовала в среду список доменов и интернет-адресов, использовавшихся Ryuk (UNC1878 в классификации Mandiant) на протяжении всего 2020 года.

Пока что известно о кибератаках Ryuk только на несколько медучреждений. На этой неделе жертвами вымогательского ПО стали медцентр Sky Lakes в Орегоне и ряд больниц в округе Сент-Лоренс.