Kaspersky Security Bulletin

Безопасность «подключенной» медицины в 2021 году

Пандемия превратила 2020 год в год медицины и информационных технологий. Невероятный всплеск уровня критичности медицинской инфраструктуры и одновременно всеобщая посильная цифровизация привели к тому, что многие наши прошлогодние прогнозы сбылись значительно быстрее, чем мы ожидали.

Как мы и предсказывали, возросло число атак на медицинское оборудование в странах, где только начинается цифровая трансформация здравоохранения. Интерес групп, занимающихся целевыми атаками, к медицинским исследованиям, разумеется, также возрос. Основным стимулом к этому послужила разработка вакцины от коронавируса и значимость ее результатов для мировой общественности. Больше всего шума наделала кампания WellMess, целью которой, по утверждению западных разведывательных агентств, была информация о вакцинах от коронавируса, которые разрабатывают в Канаде, Великобритании и некоторых других странах.

Здравоохранение превратилось в один из популярных видов приманки для атак самого разного уровня: от банальных рассылок писем с вредоносными вложениями и фишинга до целевых атак. С целью обмана пользователей злоумышленники использовали поддельные сообщения и документы от различных медицинских ведомств, в том числе ВОЗ, обещали лекарства и вакцины.

С началом пандемии такие группы, как DoppelPaymer и Maze, занимающиеся целевыми шифровальщиками, объявили, что не станут в сложившейся ситуации атаковать медицинские организации. Тем не менее здравоохранение регулярно становится мишенью злоумышленников. Напомним, что в самом начале пандемии был атакован крупнейший госпиталь в Чехии, занимающийся лечением больных COVID-19. Кроме того, в 2020 году был подтвержден первый случай, когда в результате проникновения шифровальщика на устройства госпиталя умер пациент, которому вовремя не оказали экстренную помощь. Согласно данным из открытых источников, 10% всех организаций, подвергшихся атакам целевых шифровальщиков с января по сентябрь 2020 года, были госпиталями и иными медицинскими учреждениями. Только в конце октября более двух десятков американских больниц были атакованы в рамках крупной кампании шифровальщиков, в числе которых был Ryuk. Таким образом, несмотря на то, что часть групп, по всей видимости, действительно отказалась от атак на медицинские учреждения, другие злоумышленники атаковали учреждения здравоохранения с удвоенным энтузиазмом.

Повышенное внимание к цифровой безопасности медицинских организаций во время пандемии, особенно после упомянутого случая с чешским госпиталем, привело к тому, что индустрия ИБ постаралась оказать здравоохранению максимальную поддержку. Так, в самом начале пандемии была сформирована CTI League — добровольная организация экспертов в области кибербезопасности, ставящая своей целью защиту медицинских организаций и предоставления им помощи в реагировании на киберинциденты. Помощь госпиталям оказывали и разработчики защитного ПО, в том числе «Лаборатория Касперского», предоставившая медицинским организациям бесплатный доступ к своим продуктам.

Прогнозы на 2021 год

  • Продолжатся попытки помешать разработке вакцины и лекарств от коронавируса или украсть связанные с ней конфиденциальные данные. Пока в мире идет не только борьба с болезнью, но и гонка между производителями медикаментов, любая компания, объявляющая о значительных успехах в разработке того или иного средства, будет потенциальной жертвой целевых атак.
  • В странах с сильно развитой государственной медициной атакам будут подвергаться организации из частного медицинского сектора. Защита данных пациентов и инфраструктуры стоит достаточно дорого, что в условиях экономического кризиса делает ее реализацию крайне сложной для мелкого и среднего бизнеса, к которому чаще всего относятся такие учреждения.
  • Кибератаки в области здравоохранения будут использоваться как один из инструментов давления в геополитике — атрибуция атак, повлекших серьезные последствия или нацеленных на новейшие разработки в этой сфере, обязательно будет упоминаться в качестве аргумента в дипломатических спорах.
  • В следующем году нас ждет поток сообщений об утечках данных пациентов из облачных сервисов. Переход медицинских организаций в облачные инфраструктуры и хранение там персональных данных пациентов уже сейчас создает дополнительные риски. С учетом того, что наш прошлогодний прогноз о росте интереса к данным о здоровье пользователей оказался верным, организациям здравоохранения уже сейчас надо приложить массу усилий для защиты своих облачных инфраструктур.
  • Медицинская тема как приманка останется с нами и в следующем году и будет актуальной по крайней мере до завершения пандемии. Человеческий фактор — одна из самых важных составляющих многих атак, а информация о новых ограничениях регуляторов, потенциальных лекарствах и здоровье пациентов продолжит привлекать внимание пользователей. Утекшие данные медицинских карт также станут частью приманок в целевых атаках, поскольку точная информация о состоянии и диагнозах пользователя позволяет сделать поддельные сообщения значительно более правдоподобными.
  • Внимание к цифровой безопасности госпиталей позволяет надеяться на то, что в 2021 году станет активнее сотрудничество между экспертами и организациями, занимающимися кибербезопасностью, и системой здравоохранения. Практика показывает, что именно такие непростые уроки, как эпидемия Wannacry в 2017 и пандемия коронавируса в 2020 году, подталкивают организации уделять больше внимания защите своей инфраструктуры.

Безопасность «подключенной» медицины в 2021 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике