Sieť nemocníc a zdravotnej starostlivosti Universal Health Services (UHS) s viac ako 400 zariadeniami v USA, Portoriku a Veľkej Británii sa stala obeťou ransomvéru. Útok zničil jej digitálne siete po celých Spojených štátoch.
Nemocnice zostali bez prístupu k počítačovým a mobilným systémom. „Používame na všetko papier. Všetky počítače sú vypnuté,“ vyjadril sa pre WIRED jeden zo zamestnancov.
haven't seen any news articles on it yet, but i've seen a few reports that UHS hospitals in the US currently have no access to phones, computers, internet, or data centers. an employee said they have not been allowed to turn on computers & are rerouting surgeries/ER patients.
— gabsmashh | Advanced Persistent Brunette (@gabsmashh) September 28, 2020
Viac informácií o priebehu incidentu pochádza práve od zamestnancov UHS. Podľa jedného z príspevkov na sieti Reddit škodlivý softvér na začiatku deaktivoval antivírusové programy.
Po približne jednej minúte sa počítače odhlásili a vypli. Nemocničný tím tak stratil prístup k laboratórnym, EKG a rádiologickým štúdiám a výsledkom.
Ambiciózny malvér
Zamestnanec UHS uviedol, že kompromitujúce súbory niesli príponu .ryk, ktorá je identifikátorom známeho ransomvéru Ryuk.
Ďalší zo zamestnancov pre Bleeping Computer potvrdil, že na jednej z obrazoviek dotknutých počítačov sa zobrazila fráza „Shadow of the Universe“, používaná Ryukom v poznámkach o výkupnom.
Our team has observed the following: Phishing -> #KEGTAP -> #BEACON -> #RYUK.
— Andrew Thompson (@anthomsec) September 28, 2020
Ryuk nie je na kyberbezpečnostnej scéne neznámym pojmom. Prvýkrát sa objavil v roku 2018 a experti ho prisudzujú ruským hekerom Wizard Spider. Obvykle cieli na veľké korporátne ryby a v prípade úspešného útoku sa neštíti požadovať vysoké výkupné.
Prevádzkovatelia ransomvéru Ryuk si v neskoršom štádiu jeho existencie začali vypomáhať trojanom TrickBot. Ten v infikovanom počítači spustí reverzný shell a vďaka manuálnemu prístupu k sieti otvorí záškodníkom cestu k inštalácii externého škodlivého softvéru.
V prípade UHS sa mal TrickBot do systému dostať prostredníctvom ďalšieho trojana Emotet, ktorého pôvod je možné vystopovať v škodlivej prílohe phishingovej kampane zo začiatku roka.
Sabína Huťová