14/12/21
Как оказалось, атака на Национальную службу здравоохранения Ирландии (Health Service Executive, HSE), буквально парализовавшая системы HSE прошлой весной, началась с открытия одним-единственным сотрудником вредоносного файла в фишинговом письме. Об этом сообщается в новом отчете аудиторской компании PWC.
Securitylab напоминает, в мае нынешнего года Национальная служба здравоохранения Ирландии (Health Service Executive, HSE) была вынуждена временно отключить свои IT-системы из-за кибератаки с использованием вымогательского ПО Conti. В результате инцидента в Сеть утекли медицинские и персональные данные пациентов ирландских медучреждений. По подсчетам главы Управления по охране труда Великобритании Пола Рида (Paul Reid), кибератака может обойтись правительству в 100 млн евро. И все это потому, что один из сотрудников открыл пришедшее ему на электронную почту спам-письмо, сообщили специалисты PWC.
«Заражение вредоносным ПО стало результатом открытия пользователем рабочей станции, ставшей нулевым пациентом, вредоносного файла Microsoft Excel, прикрепленного к фишинговому письму, отправленному 16 марта 2021 года», – говорится в отчете.
Что хуже, еще до развертывания вымогателя персонал HSE обнаружил в своей сети присутствие операторов Conti – группировки WizardSpider, но ничего не предприняли, что и привело к успешной «детонации» вредоноса. Установленные на конечных точках антивирусные решения зафиксировали Cobalt Strike и Mimikatz, но руководство HSE предпочло ничего с этим не делать.
Национальный центр кибербезопасности Ирландии (National Cyber Security Centre, INCSC) назвал конечную полезную нагрузку, выполненную через два месяца после получения хакерами первоначального доступа, Conti v3.
По словам PWC, группировка WizardSpider, вероятно, «проэксплуатировала неисправленную известную уязвимость», чтобы получить доступ к домену Active Directory. О какой уязвимости идет речь, специалисты не уточнили, а значит, она все еще может оставаться неисправленной.
