03 апреля 2020

Создатели вредоносной программы Ruyk продолжают атаки на медицинские учреждения несмотря на эпидемию

В отличие от преступных группировок, стоящих за вредоносными программами DoppelPaymer и Maze, которые пообещали не выбирать в качестве своих целей медицинские учреждения в период всемирной эпидемии, операторы Ryuk продолжают атаковать больницы и требовать выкуп за расшифровку файлов. Сообщается, что за последней месяц в США жертвами Ryuk стали 10 больниц.

В атаках Ryuk используется уже ставшая привычной для этой вредоносной программы схема заражения с использованием фишинговых писем и вредоносной программы TrickBot. Эта вредоносная программа позволяет злоумышленникам подключаться к зараженному компьютеру и исследовать сеть атакованной организации. Операторы TrickBot пытаются найти уязвимые системы, а также украсть учётные данные пользователей.

Злоумышленники стремятся проникнуть в системы, которые обеспечивают работу критически важных для атакованной организации сервисов. Именно на этих системах информация шифруется вредоносной программой Ryuk.

Ryuk использует криптостойкие алгоритмы шифрования и, к сожалению, расшифровка файлов без наличия закрытого ключа шифрования не представляется возможной. Однако всё же можно снизить риски потери доступа к данным, подготовившись к такой атаке, либо выявив её на начальном этапе.

Мы рекомендуем предпринять следующие действия:

  1. Установить на все системы антивирусное ПО с возможностью централизованного управления политикой безопасности, поддерживать в актуальном состоянии антивирусные базы и программные модули защитных решений. Разрешать отключение антивируса только после ввода пароля администратора (при отсутствии данной политики злоумышленники могут самостоятельно отключать антивирусные решения, имея возможность удаленного управления системой);
  2. Регулярно делать резервные копии данных, хранить их в надежном месте, проверять их целостность и актуальность, чтобы в чрезвычайной ситуации информацию можно было легко восстановить;
  3. Своевременно устанавливать обновления безопасности для операционной системы и прикладного ПО;
  4. По возможности ограничить использование RDP и сторонних утилит удаленного администрирования. Использовать только сложные пароли для учетных записей пользователей, имеющих права на удаленное управление системами организации через RDP, не хранить их в открытом виде и регулярно менять;
  5. При появлении признаков атаки (выявлении вредоносной программы TrickBot) изолировать атакованные системы от сети предприятия, а также принудительно сменить пароли для всех учетных записей пользователей, которые могли быть скомпрометированы;
  6. Проводить обучение сотрудников предприятий навыкам безопасной работы с почтой и, в частности, распознаванию фишинговых писем.

Источник: BleepingComputer