Как да защитим болниците срещу софтуерът за откуп Netwalker

Как да защитим болниците срещу софтуерът за откуп Netwalker
Netwalker

Болниците са една от най-важните критични инфраструктури и още повече в момента, с глобалната критична ситуация със здравето, причинена от COVID-19. Понастоящем е наложително болниците да функционират толкова добре, колкото е възможно, без грешки.

Не трябва обаче да изпускаме от поглед факта, че в момента целият сектор е в разгара на технологичната революция и цялата информация се съхранява цифрово. Нещо, което може да бъде от голяма полза за пациентите. Цялата тази информация е достъпна и онлайн, така че, ако пациентът смени лекарите, медицинската му история да е лесно достъпна. Именно същото технологично подобрение създаде и сериозен проблем за сигурността на здравната индустрия. Медицинската информация е много ценна, така че ако киберпрестъпниците успеят да се доберат до нея, те биха могли да получат голяма печалба.

Болниците са много популярни мишени за киберпрестъпността в наши дни. Това, наред с други причини, се дължи на количеството лични данни, които обработват, както и на техните ИТ системи, които често са остарели. Някои киберпрестъпни групи заявиха, че няма да атакуват болници по време на настоящата пандемия, но има определени групи, които игнорираха тази похвална инициатива. Един такъв пример за това беше наблюдаван в Чешката република, където в средата на март кибератака парализира университетска болница, която провеждаше тестове и изследвания, с цел да смекчи разпространението на коронавирус.

Испания: светлината на прожекторите за инфекции и Netwalker

Испания е една от страните, които са най-силно засегнати от пандемията и нейните болници работят непрекъснато, за да лекуват пациенти. Но сега испанските болници имат още една неотложна грижа, с която  да се справят – ransomware.

Миналата неделя националните агенции за киберсигурност откриха опит за блокиране на информационните системи на испанските болници чрез изпращане на злонамерени имейли до медицинския персонал. Тези имейли съдържат прикачен файл, който уж съдържа информация за коронавирус covid-19 във файл, наречен „CORONAVIRUS_COVID-19.vbs“.

В този файл е вграден изпълним код на Netwalker за извличане инсталиране  на този вирус за откуп  на компютъра на жертвата. Веднъж изпълнен, Netwalker криптира файловете на компютъра и добавя произволно разширение към шифрованите файлове.

След като този процес приключи, софтуерът за откупуване оставя бележка за откуп, наречена [разширение] -Readme.txt. Бележката съдържа инструкции как да възстановите криптираните файлове.

Добрата новина е, че все още не е започнало масово разпространение на този зловреден софтуер. Като се има предвид обаче спешната ситуация, в която се намира страната, подобна кибератака срещу медицински център би имала пагубни последици.

Техниката за избягване на Netwalker

Netwalker атакува Windows 10 системи и е в състояние да деактивира антивирусен софтуер. Въпреки това, за да избегне настройването на алармите, не деактивира системите за защита на крайните точки. Той инжектира злонамерен код директно в Windows Explorer.

За да избегне откриването, Netwalker също използва техника, наречена hollowing(техниката е подобна на инжектиране на зловреден процес). Този процес включва отписване на паметта на суспендираните процеси и замяната му със злонамерен код. Тази техника му позволява да заобиколи решенията за киберсигурност, които използват бели списъци и подписи за откриване на зловреден софтуер.

Как да защитим болниците

В момента е по-важно от всякога да запазим болниците в безопасност. За да се гарантира, че те са защитени, жизненоважно е всички да положат усилия да спрат хакерите да си проправят път към ИТ системи в сектора на здравеопазването.

Първата стъпка, която трябва да бъде основна част от всеки план за киберсигурност, е да бъдете изключително внимателни с имейлите. Имейлът е един от водещите входни вектори за злонамерен софтуер, а също така е и вектор, който съществува във всяка компания. За да го защитим, е наложително никога да не отваряме прикачени файлове от неизвестни податели. Също така е жизненоважно никога да не кликвате върху връзки в имейли от непознати, тъй като те също могат да улеснят инсталирането на зловреден софтуер.

Друга съществена мярка са модерните решения за киберсигурност. Panda Adaptive Defense е в състояние да следи цялата активност във всички крайни точки в мрежата. Той не използва подписи за откриване на зловреден софтуер. Вместо това всеки неизвестен процес е спрян, преди да може да се стартира, анализира се и е позволено да се изпълнява само ако е класифициран като легитимен. Тази тактика на  нулево доверие гарантира сигурността на вашата ИТ система.

 

Източник: Panda Media Center

За Panda Security

Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).

Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.

За допълнителна информация:

Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08

Сподели в:

Категории:

Следвай ни в: