Un nou grup de hackeri numit „Orangeworm” a vizat sectorul sănătății și corporațiile internaționale care sunt direct sau indirect legate de industria sănătății.
Potrivit firmelor de securitate cibernetică, acest grup de atac spionează de mult timp pentru a viza organizațiile de îngrijire a sănătății din Statele Unite și din întreaga lume. Grupul a fost identificat pentru prima dată în 2015 și pare să se concentreze asupra industriei sănătății, care reprezintă aproape 40% din obiective.
Numele programului malware?
Orangeworm a instalat un backdoor personalizat numit „troian. Kwampirs ”. Este un cal troian care poate deschide ușa din spate a computerului compromis, care poate descărca fișiere potențial rău intenționate. Acest atac reprezintă o amenințare serioasă pentru platforma Windows.
Acest troian face turul în sectoarele mari ale companiilor, care înconjoară industria sănătății. Troian. Programele malware Kwampirs se răspândesc prin intermediul acțiunilor SMB (Server Message Block), adică un protocol de rețea utilizat de sistemele bazate pe Windows, care permite computerelor din aceeași rețea să partajeze fișiere.
Troian. Kwampirs oferă posibilitatea atacatorilor cu acces de la distanță la computerul compromis, care decriptează și extrage o copie a DLL (Dynamic Link Library), care este un tip de fișier care conține informații la care alte programe pot apela pentru a face anumite lucruri. Odată infiltrat, malware-ul adună toate datele pentru a le trimite înapoi la un server de comandă și control, astfel încât atacatorii să poată analiza ce sisteme par interesate.
Ce s-a întâmplat de fapt?
Orangeworm este activ din ianuarie 2015 și până în prezent a infectat un număr mare de organizații din întreaga lume. Aceștia plantează software-ul de acces de la distanță „backdoor” pe computerele medicale care controlează RMN (rezonanță magnetică) Mașini) și Mașini cu raze X, pentru a fura informații de la furnizorii de servicii medicale din SUA, Europa și Asia.
Potrivit experților în securitate, acest grup de hackeri solitari caută să fure informații despre pacienți și să le vândă pe piețele negre pentru o sumă cuprinsă între 25 USD și 40 USD pe înregistrare, în timp ce o adresă de e-mail se vinde pentru cenți. Spre deosebire de ransomware, atacurile sunt foarte vizate. Se pare că grupul își alege obiectivele foarte atent și a efectuat o bună planificare înainte de a bombarda un atac.
Agresorii colectează cât mai multe informații din sistemul ușii din spate, iar dacă sistemul pare interesat și nu pare operat de cercetători în securitate, malware-ul troian. Kwampirs se va copia în comun partajări de rețea deschise transversal pentru a infecta alte sisteme din rețea.
Conform rapoartelor, atacatorii Orangeworm nu s-au temut niciodată să nu fie găsiți, alături de aceștia folosesc metode de mișcare care sunt destul de zgomotoase și învechite. Cu toate acestea, cercetătorii au avut nevoie de 3 ani pentru a identifica și descoperi atacul.
Cui sunt vizați toți?
Acest atac malware a afectat, de asemenea, industriile conexe, cum ar fi produsele farmaceutice, producătorii de utilaje, furnizorii de servicii medicale și chiar furnizorii de soluții IT care deservesc industria medicală direct sau indirect.
Potrivit rapoartelor, aproximativ 40% dintre victime sunt companii active în industria asistenței medicale, dar atacurile sunt plutite spre și alte industrii care sunt legate cumva de asistența medicală, inclusiv IT (15%), industria prelucrătoare (15%), logistica (8%) și agricultura (8%),
Orangeworm a încercat un atac pe lanțul de aprovizionare infectând un furnizor de servicii pentru a pătrunde în rețelele organizației medicale dorite.
Evidențierea troianului. Punctele Kwampirs din întreaga lume. Un număr imens de victime se află în SUA, reprezentând 17% din rata infecției.
Motivul din spatele atacului?
Motivul din spatele alegerii sectorului medical este înregistrările medicale pe care le depozitează spitalele și instituțiile. Aceste înregistrări sunt reale și au o rată autentică bună, ceea ce face foarte ușoară identificarea victimei. Motivele care stau la baza atacului nu sunt prea clare, dar conform declarațiilor experților în securitate, ele vizează efectiv dosare medicale care sunt, în general, foarte bogate în PII (informații personale de identificare) și au date financiare asociate aceasta.
Trebuie citit: Avertizare! Codul dvs. de acces pentru iPhone din șase cifre nu mai este sigur
Potrivit rapoartelor experților în securitate cibernetică, Orangeworm nu a făcut niciun efort pentru a-și modifica malware-ul după aceea primele sale atacuri, arătându-și încrederea extremă că nu vor fi niciodată prinși sau la nivel înalt nebunie.