Организации здравоохранения под угрозой из-за вируса-вымогателя Trinity
Сектор здравоохранения сталкивается с растущей киберугрозой со стороны нового варианта вируса-вымогателя, известного как Trinity . Министерство здравоохранения и социальных служб США (HHS) выпустило предупреждение, оповещающее организации здравоохранения и общественного здравоохранения о надвигающихся опасностях.
Table of Contents
Растущая угроза программ-вымогателей
Trinity — относительно новый штамм вируса-вымогателя, впервые обнаруженный в мае 2024 года. Он шифрует файлы, добавляя расширение «.trinitylock». По данным HHS, он имеет сходство с другими семействами вирусов-вымогателей, такими как 2023Lock и Venus. Эти группы часто нацелены на критически важную инфраструктуру, и Trinity не является исключением.
Как и другие программы-вымогатели, Trinity использует сайт утечки для составления списка своих жертв и ведения переговоров с организациями о расшифровке файлов. Операторы программы-вымогателя извлекают данные перед тем, как заблокировать системы, чтобы сделать их заложниками для дальнейшего вымогательства.
Оказавшись внутри, Trinity использует фишинговые письма, уязвимое программное обеспечение и вредоносные веб-сайты для получения доступа. Затем он проводит сетевую разведку, сканирует системы и перемещается вбок, чтобы повысить привилегии. Одна из продвинутых тактик, используемых Trinity, заключается в подделке маркера легитимных процессов для расширения своего влияния в сети жертвы.
Методы шифрования и вымогательства
Получив полный доступ, Trinity шифрует файлы, используя надежный алгоритм шифрования. Файлы становятся бесполезными, если у жертвы нет правильного ключа дешифрования. Каждый затронутый файл помечается расширением «.trinitylock», что четко идентифицирует зашифрованные данные.
После процесса шифрования жертвы получают записки с требованием выкупа в текстовом и .hta форматах, а также измененные обои рабочего стола, отображающие атаку. Записка с требованием выкупа обычно включает onion URL для доступа к сайту злоумышленника и инструкции по общению.
Ссылки на другие семейства программ-вымогателей
HHS отмечает, что Trinity поразительно похожа на семейства программ-вымогателей 2023Lock и Venus. Они используют алгоритм шифрования ChaCha20, а их требования о выкупе, имена мьютексов и значения реестра практически идентичны. Эти глубокие связи предполагают, что Trinity может быть прямым преемником 2023Lock, что делает его развивающейся угрозой.
Влияние на организации здравоохранения
Секторы здравоохранения и общественного здравоохранения особенно уязвимы. Одна американская организация здравоохранения уже стала жертвой этой группы, и на данный момент на сайте утечки Trinity перечислены пять жертв. В их число входит Rocky Mountain Gastroenterology, из которой, по утверждениям злоумышленников, было украдено 330 гигабайт данных.
В настоящее время нет инструментов для расшифровки для Trinity ransomware, что оставляет жертвам мало вариантов. Хотя некоторые добились частичного успеха с помощью инструментов восстановления данных, потребность в экспертных консультациях от профессионалов в области кибербезопасности высока.
Подготовка к следующей атаке
Риск, который Trinity и другие семейства программ-вымогателей представляют для систем здравоохранения, очевиден. Какие шаги должна предпринять ваша организация, чтобы предотвратить атаку? Достаточно ли ваших текущих защитных мер, чтобы выдержать нарушение? Продуманные, упреждающие меры безопасности могут стать решающим фактором между тем, чтобы стать жертвой или остаться в безопасности.
