Спецпроекты

Трояны-шифровальщики в честь пандемии коронавируса не будут атаковать больницы

Безопасность Стратегия безопасности

Операторы шифровальщиков DoppelPaymer и Maze объявили, что не станут атаковать медицинские учреждения до окончания пандемии коронавируса. Другие группировки, впрочем, не собираются играть в благородство.

Больницы не трогаем

Две киберпреступные группировки, использующие в качестве главного своего оружия шифровальщики DoppelPaymer и Maze заявили о том, что не будут атаковать медицинские учреждения, пока пандемия коронавируса COVID-19 не сойдёт на нет.

Редакция издания BleepingComputer обратилась с запросами к операторам Maze, DoppelPaymer, Ryuk, Sodinokibi/REvil, PwndLocker и Ako с вопросом, собираются ли они и дальше атаковать медучреждения. В последние несколько недель подобных инцидентов было несколько: самый скандальный произошёл около недели назад в Чехии, где больничный комплекс при университете Брно оказался парализован шифровальщиком. Как раз в этой больнице проводилось тестирование на коронавирус. Была ли это целенаправленная атака или просто случайное заражение, неизвестно.

На запрос откликнулись только операторы DoppelPaymer и Maze. Первые заявили, что они в принципе стараются не атаковать больницы, родильные дома и службы спасения, - за вычетом «случайных заражений», вызванных ошибками в настройках их сетей.

«Если мы по ошибке заражаем их - мы расшифровываем файлы бесплатно. Но некоторые компании пытаются выдавать себя не за тех, кем являются: однажды девелоперская компания пыталась выдать себя за небольшое агентство недвижимости, а другая - за собачий приют. Если такое происходит, мы дважды, трижды перепроверяем всё, прежде чем предоставить дешифровщик. Но вот что касается фармацевтических компаний - они на панике зарабатывают уйму денег, и у нас нет никакого желания их поддерживать в этом. Пока врачи что-то делают, эти ребята получают деньги», - ответили операторы DoppelPaymer.

virus600.jpg
Операторы шифровальщиков DoppelPaymer и Maze объявили, что не станут атаковать медицинские учреждения до окончания пандемии коронавируса

Когда их спросили, что делать, если шифровальщик атакует медицинскую организацию, операторы ответили, что жертвы должны связаться с ними через почту или Tor, предоставить доказательство тому, что они являются теми, ке являются, и получить дешифровщик.

Операторы Maze заявили, что прекращают всяческие действия против любых медицинских организаций до тех пор, пока ситуация с коронавирусом не «стабилизируется». На вопрос о бесплатных дешифровщиках ответа не поступило.

Операторы других шифровальщиков отмолчались.

«Благородные порывы - вещь, конечно, прекрасная, но насколько можно доверять операторам шифровальщиков, неясно, - говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Коронавирусная пандемия - состоявшийся факт, но киберкриминал по большей части использует её в своих интересах, и довольно успешно. Упускать выгоду операторы шифровальщиков вряд ли захотят, так что проблема, скорее всего, останется довольно серьёзной».

Поможем договориться

Между тем две компании, производящие средства защиты от кибератак, в частности, Emsmissoft и Coveware, объявили, что предоставят всем медицинским организациям бесплатные инструменты для противодействия шифровальщикам и разблокировки атакованных систем.

Бесплатно будут предоставляться и услуги, связанные с техническим анализом шифровальщиков, разработкой дешифровщиков - там, где это возможно. В качестве последнего средства Coveware предлагает содействие в переговорах о выплате выкупа, а также «проведение транзакции, помощь в восстановлении данных, в том числе замену инструмента дешифровки, предоставленного преступниками, другим, специально разработанным, который позволит восстановить данные быстрее и с меньшим риском потерь».