Napadení nemocnice v Benešově předcházel trojnásobný útok kryptovirů

December 11, 2019

Ve všech médiích se dnes můžete dočíst, že v benešovské nemocnici zkolabovaly všechny přístroje a pacienti musí za ošetřením do jiných zařízení. Síť totiž během noci ochromil kryptovirus, který znemožnil fungování všech laboratorních přístrojů.

Tomuto útoku předcházelo zvýšení aktivity kryptovirů v e-mailech, u kterých jsme zaznamenali během dnešní noci 300% nárůst. Jde o nejrůznější směs falešných objednávek a faktur v angličtině. Podobnou aktivitu zaznamenáváme prakticky trvale, ovšem ne v tak vysoké míře.

Obvyklé předměty zpráv z této kampaně vypadají takto:

• PAYMENT CONFIRMATION
• Urgent Quotation
• CONTRACT TERMINATION
• Boleto referente a taxa de R$....
• NEXT SHIPMENT
• Purchase Order # .......
• DHL AWB DOC-INV
• SOB ADVICE AGAINST ....
• Letter of Intent ...

Kampaň je velmi účinná a obchází běžné spam filtry. Důvodem je, že útočníci pro rozesílání nepoužívají botnety (sítě napadených počítačů), ale skutečné e-mailové účty uživatelů.

Stačí, aby uživatel používal slabé heslo nebo mu stejné heslo uniklo z jiné služby a útočníci se za něj přihlásí a odešlou z jeho schránky podobné e-mailové zprávy. Na internetu se bohužel dají koupit celé databáze přihlašovacích údajů k funkím e-mailovým účtům.

Takto odeslaný e-mail přichází s platným SPF záznamem, občas dokonce s validním DKIM. Znamená to, že z hlediska spamového filtru se jedná o zprávu se všemi náležitostmi, která se dostane až do schránky oběti.

Z našich dlouhodobých zkušeností bohužel plyne, že stav IT v některých příspěvkových organizací, které spadají pod kritickou infrastrukturu, je z pohledu bezpečnosti velmi žalostný. Vnímáme dlouhodobou finanční podvýživu, nekoncepční řízení a personální nouzi. Výsledkem je infrastruktura nepřipravená odolávat podobným hrozbám.

Filtrování e-mailů v organizacích také bojkotují sami uživatelé nebo vedení. Argumentují tím, že raději uvolní filtrování, aby došlo k doručení všech e-mailů – včetně spamu. Je to stejně chybné, jako snížit úmyslně kvalitu antivirového řešení, aby náhodou neobtěžovalo uživatele.