Sveikatos priežiūros organizacijos, kurias apgulė „Trinity Ransomware“.
Sveikatos priežiūros sektorius susiduria su augančia kibernetine grėsme dėl naujos išpirkos reikalaujančios programinės įrangos varianto, žinomo kaip „Trinity“ . JAV sveikatos ir žmogiškųjų paslaugų departamentas (HHS) paskelbė įspėjimą, įspėdamas sveikatos priežiūros ir visuomenės sveikatos organizacijas apie gresiančius pavojus.
Table of Contents
Didėjanti „Ransomware“ grėsmė
Pirmą kartą aptikta 2024 m. gegužę, „Trinity“ yra palyginti nauja išpirkos reikalaujanti programinė įranga. Jis užšifruoja failus, pridėdamas „.trinitylock“ plėtinį. Pasak HHS, ji turi panašumų su kitomis išpirkos reikalaujančiomis programomis, tokiomis kaip 2023Lock ir Venus. Šios grupės dažnai taikosi į kritinę infrastruktūrą, ir „Trinity“ nėra išimtis.
Kaip ir kitos išpirkos reikalaujančios programos, „Trinity“ naudoja nutekėjusią svetainę, kad surašytų savo aukas ir derėtųsi su organizacijomis dėl failų iššifravimo. Išpirkos reikalaujančios programos operatoriai išfiltruoja duomenis prieš užrakindami sistemas, kad palaikytų juos įkaitais tolesniam prievartavimui.
Patekusi į vidų, „Trinity“ naudoja sukčiavimo el. laiškus, pažeidžiamą programinę įrangą ir kenkėjiškas svetaines, kad gautų prieigą. Tada jis atlieka tinklo žvalgybą, nuskaito sistemas ir juda į šoną, kad padidintų privilegijas. Viena iš pažangių taktikos, kurią naudoja Trinity, yra apsimetinėti teisėtų procesų ženklu, kad išplėstų savo pasiekiamumą aukos tinkle.
Šifravimo ir turto prievartavimo metodai
Gavusi visą prieigą, „Trinity“ užšifruoja failus naudodama patikimą šifravimo algoritmą. Failai tampa nenaudingi, nebent auka turi teisingą iššifravimo raktą. Kiekvienas paveiktas failas pažymimas „.trinitylock“ plėtiniu, aiškiai identifikuojančiu užšifruotus duomenis.
Pasibaigus šifravimo procesui, aukos sutinkamos su išpirkos rašteliais teksto ir .hta formatais bei modifikuotais darbalaukio fono paveikslėliais, kuriuose vaizduojamas išpuolis. Išpirkos rašte paprastai pateikiamas URL, skirtas pasiekti užpuoliko svetainę, ir komunikacijos instrukcijos.
Nuorodos į kitas Ransomware šeimas
HHS atkreipia dėmesį į tai, kad „Trinity“ yra nepaprastai panaši į 2023Lock ir Venus ransomware šeimas. Jie dalijasi ChaCha20 šifravimo algoritmu, o jų išpirkos užrašai, mutex pavadinimai ir registro reikšmės yra beveik identiškos. Šie gilūs ryšiai leidžia manyti, kad „Trinity“ gali būti tiesioginis „2023Lock“ įpėdinis, todėl kylanti grėsmė.
Poveikis sveikatos priežiūros organizacijoms
Sveikatos priežiūros ir visuomenės sveikatos sektoriai yra ypač pažeidžiami. Viena JAV sveikatos priežiūros organizacija jau tapo šios grupuotės auka, o iki šiol „Trinity“ informacijos nutekinimo svetainėje yra penkios aukos. Tai apima Rocky Mountain Gastroenterology, iš kurios užpuolikai teigia pavogę 330 gigabaitų duomenų.
Šiuo metu nėra Trinity ransomware iššifravimo įrankių, todėl aukoms lieka nedaug galimybių. Nors kai kurie pastebėjo dalinę sėkmę naudojant duomenų atkūrimo įrankius, ekspertų konsultacijų iš kibernetinio saugumo specialistų poreikis yra labai didelis.
Pasiruošimas kitai atakai
„Trinity“ ir kitų „ransomware“ šeimų keliama rizika sveikatos priežiūros sistemoms yra aiški. Kokių veiksmų turėtų imtis jūsų organizacija, kad užkirstų kelią atakai? Ar jūsų dabartinės gynybos pakanka, kad atlaikytumėte pažeidimą? Apmąstytos, iniciatyvios saugumo priemonės gali būti skirtumas tarp tapimo auka ar išlikimo saugiu.
