Больницы DCH в Алабаме решили выплатить выкуп за программу-вымогатель Ryuk для того, чтобы получить расшифровщик и вернуть свои компьютерные системы в рабочее состояние.

1 октября 2019 года система здравоохранения DCH Health System, которая включает в себя региональный медицинский центр DCH, медицинский центр Northport и медицинский центр Fayette в Tuscaloosa, Northport и Fayette в Западной Алабаме, подверглась нападению вируса-криптовымогателя под названием Ryuk. Нападение парализовало работу их компьютерных систем и заставило больницы прекратить прием новых пациентов, не находящихся в экстренном состоянии.

На выходных DCH выпустила заявление об инциденте, в котором было сказано, что некоторые системы восстанавливаются из резервных копий, но больницы всё-таки платят выкуп и покупают ключ расшифровки Ryuk для восстановления доступа к другим зашифрованным системам.

«В сотрудничестве с правоохранительными органами и независимыми экспертами в области IT-безопасности мы начали методический процесс восстановления системы. Мы использовали наши собственные файлы резервных копий DCH для восстановления определенных компонентов системы и получили ключ расшифровки от злоумышленника для восстановления доступа к заблокированным системам», — сообщили в руководстве системы.

В DCH Health System не указали, сколько руководство здравоохранительных учреждение заплатило за расшифровщик, но подтвердили, что специалисты уже успешно расшифровали несколько зашифрованных серверов.

«Мы успешно завершили тестовую расшифровку нескольких серверов и сейчас мы выполняем последовательный план по дешифровке, тестированию и переводу систем в оперативный режим по отдельности. Это будет поэтапное продвижение, которое будет отдавать приоритет основным операционным системам и основным функциям для обеспечения неотложной помощи. В сети DCH тысячи компьютерных устройств, поэтому этот процесс займет время».

В настоящее время неизвестно, когда системы здравоохранительных учреждений будут полностью готовы к работе. Правда, у жертв вируса Ryuk есть небольшой шанс получить бесплатное дешифрование. Охранная фирма Emsisoft в США рекомендует пострадавшим жертвам связаться с ними, прежде чем платить выкуп, поскольку существует небольшая вероятность того, что они смогут помочь пользователям расшифровать свои файлы с помощью бесплатных инструментов.

В то же время по крайней мере семь больниц в Австралии также испытали на себе последствия атаки вымогателей, которая произошла в понедельник. Больницы в Гиппсленде и на юго-западе Виктории заявили, что были вынуждены перенести некоторые услуги, назначенные пациентам, из-за «инцидента с кибератакой».

«Инцидент в киберпространстве, который был обнаружен в понедельник из-за проникновения вымогателей, заблокировал доступ к нескольким системам, включая управление финансами», — сказали представители больницы. — Больницы изолировали и отключили ряд систем, чтобы локализовать распространение вируса».

В управлении больницы сказали, что они работают с полицией и австралийским Центром кибербезопасности, чтобы избавиться от последствия инцидента. Согласно новостным сообщениям руководства больниц, компьютерные системы учреждений здравоохранения оставались заблокированными в семи больницах во вторник более 24 часов после нападения. В руководстве учреждений сообщили, что понадобятся недели, чтобы обезопасить и восстановить поврежденные сети. В том же время, по словам представителей руководства больниц, нет никаких признаков того, что были затронуты личные данные пациентов.

Не было никаких непосредственных признаков того, что нападения в Алабаме и Австралии были связаны. По сообщениям, одним из самых запоминающихся случаев, когда больницы подвергались атакам вымогателей, стала вспышка вируса WannaCry в мае 2017 года и, в меньшей степени, атака NotPetya, которая последовала через два месяца.

Комментарии (6)


  1. somurzakov
    09.10.2019 21:49
    +5

    ну все, прецедент создан, теперь инсайдеры в любой больнице будут заражать системы и получать миллионные выкупы в бетховенах — соблазн слишком велик


  1. OneType
    09.10.2019 22:20

    Надеюсь этот вирус за пределы больницы не распространиться, и к этой заразе придумают вакцину.


    1. corvair
      10.10.2019 05:17
      +1

      Внутрибольничная инфекция.


  1. Alexsandr_SE
    10.10.2019 07:03

    Все, что нужно знать о резервных копиях в таких больших системах. Нереально за пару дней и даже неделю все восстановить даже если сами копии будут.


    1. Andrey_Rogovsky
      10.10.2019 09:01

      В HIPAA есть раздел касаемый дизастер рекавери
      Это процедура должна выполнятся по расписанию допустим ежемесячно и время на полное восстановление вам будет всегда известно загодя


  1. somurzakov
    10.10.2019 16:56

    будет стимул уходить из он-прем полностью в облачную инфраструктуру как по железу так и по данным