Параграф22 Daily

Свят

Karakurt - хакерска атака срещу доставчици на здравни услуги

Американското министерство на здравеопазването HHS предупреждава, че се е появила нова хакерска група за искане на откуп, наречена Karakurt. Тя атакува доставчици на здравни услуги.

През последните три месеца е ударила най-малко четири организации в здравния сектор, съобщават от Министерството на здравеопазването в Съединените щати.

Наблюдаваните атаки са били срещу здравен стационар, стоматологична фирма, доставчик на услуги и болница. В предупреждение от Координационния център за киберсигурност на Министерството на здравеопазването на САЩ се казва, че макар Karakurt да се е появила едва в края на 2021 г., нейното въздействие се засилва от вероятните й връзки с групата Conti ransomware. Тя веротно може и да е тип страничен бизнес на Conti. Федералните агенции отдавна предупреждават за риска, който групата Conti ransomware представлява за сектора на здравеопазването, след като успешно атакуваха повече от 16 доставчици от началото на 2021 година.

Атаките на играчите от Karakurt са типични за групите за откуп, които крадат данни и заплашват да ги продадат на търг на черния пазар или да ги направят публични, освен ако исканията им не бъдат изпълнени.

Исканите откупи варират от $25 000 до $13 000 000 в биткойни, като крайните срокове често изтичат в рамките на само една седмица след първоначалния контакт с киберпрестъпниците. Според американските власти, това, което е най-тревожно за Karakurt, са нейните интензивни кампании за тормоз срещу жертвите, с цел злепоставяне.

Това наскоро беше забелязано в кампанията на Karakurt срещу болницата Methodist McKinney в началото на юли. Хакерите заплашиха да публикуват данните, за които твърдяха, че са откраднали от болничната система, но ръководството на здравното заведение реши да информира пациентите за продължаващата атака и не спря разследването за възможната кражба на данни.

Karakurt получават достъп до системите чрез закупуване на откраднати идентификационни данни за достъп чрез партньорства с организации за киберпрестъпления, които могат да осигурят на групата контакт с вече компрометирани жертви. Сред използваните уязвимости са остарели SonicWall VPN, Log4j, фишинг и остарели Windows сървъри. Атаката на Karakurt е с типично двумесечно действие, при което играчите извършват сканиране, разузнаване и събиране на данни срещу жертвите.

Те компресират файловете, за да ексфилтрират големи количества данни и в много случаи цели, свързани в мрежа, споделени дискове. В обеми, надвишаващи 1 терабайт, използвайки приложения с отворен код и FTP. При здравеопазването достъпът и ексфилтрацията със сигурност включва защитена здравна информация на пациентите, като например медицинска история, подробности за здравното осигуряване, диагнози и лечения.

След като бъде получен достъп до компрометирана система, играчите Karakurt разполагат маяци на Cobalt Strike, за да инсталират Mimikatz и да изтеглят идентификационни данни в обикновен текст, да използват AnyDesk, за да получат постоянен дистанционен достъп за управление и да използват допълнителни инструменти, зависещи от ситуацията, за да повишат възможностите си и да се движат незабелязано в рамките на мрежа, избягвайки предупрежденията за атаки.

След ексфилтрацията Karakurt изпращат бележката за откуп чрез файлове „readme.txt“ до имейл акаунти на служители на организацията-жертва. Съобщенията включват инструкции как да се разговаря с играчите, за да се договори цена за изтриване на данните. Именно по време на тези разговори „жертвите съобщават за засилени кампании за тормоз“, когато Karakurt контактуват със служители, бизнес партньори и клиенти, изпращайки им множество имейли и осъществявайки телефонни обаждания, „предупреждаващи получателите да насърчават жертвите да преговарят, за да предотвратят разпространението на откраднатите данни.

В отговор на възможната заплаха HC3 съветва на доставчиците да прегледат сигурността на операциите си и да използват препоръките, посочени в предупреждението. Доставчиците също така ще намерят пълен списък с тактиките на Karakurt, използване на познатите им слабости и индикатори за компрометирането им.

Facebook logo
Бъдете с нас и във