В начале сентября женщина, которой срочно требовалась медицинская помощь, не смогла попасть в одну из крупнейших клиник Дюссельдорфа. Медучреждение оказалось парализовано кибератакой, и в итоге пациентка скончалась. После этого власти инициировали расследование, чтобы найти и наказать преступников.
Тем временем вирус изучили специалисты по кибербезопасности. Они выяснили, что атака, вероятно, имеет российский след, а злоумышленники могут быть связаны с одной из самых опасных хакерских группировок.
Хакерская атака с летальным исходом
В ночь на 11 сентября 78-летняя женщина, нуждавшаяся в срочной помощи по состоянию здоровья, вызвала домой скорую. Врачи решили госпитализировать пациентку в Университетскую клинику Дюссельдорфа, которая располагалась рядом. Однако там принять женщину не смогли.
Как оказалось, накануне кто-то взломал IT-системы медучреждения и заразил их вирусом-вымогателем, а персонал потерял доступ к данным и системам мониторинга за аппаратурой. Пациентку перенаправили в другое учреждение, находящееся в 32 километрах. Это привело к часовой задержке в лечении, и в результате женщина умерла.
Затем немецкая прокуратура инициировала расследование. Правоохранители выяснили, что хакеры атаковали и зашифровали 30 серверов больницы, а на одном из них оставили контактный адрес и уведомление с требованием выкупа за разблокировку. Вот только адресовано оно было не больнице, а университету Генриха Гейне, к которому она привязана. Следствие полагает, что преступники банально перепутали цели для хакерской атаки.
В итоге правоохранители связались со злоумышленниками по электронной почте и рассказали о случившемся. Анонимы в ответ прислали цифровой ключ для разблокировки IT-систем и, не потребовав денег, перестали выходить на связь. Но расследование уже шло полным ходом.
Клиника в Дюссельдорфе. Фото: mediglobus.com
Впоследствии Министерство юстиции Северного Рейна—Вестфалии опубликовало доклад, в котором говорится, что за атакой могла стоять хакерская группировка из России. Правоохранители установили, что злоумышленники использовали брешь в ПО от американской компании Citrix и заразили системы клиники вирусом-вымогателем DoppelPaymer.
Минюст со ссылкой на «частные компании в сфере кибербезопасности» утверждает, что DoppelPaymer неоднократно фигурировал в атаках на фирмы и институты по всему миру. А стояла за всем этим якобы некая группировка хакеров — предположительно, из России.
Зацепка, ведущая в Россию
DoppelPaymer является новым вирусом, но известен специалистам он с середины 2019 года. В беседе с Deutsche Welle Адам Майерс, вице-президент компании CrowdStrike (это один из лидеров на рынке кибербезопасности), рассказал, что злоумышленники, скорее всего, в прошлом были связаны с группировкой Indrik Spider. По словам Майерса, изначально она занималась банковским мошенничеством и воровством учётных данных, а уже потом перешла к полноценным взломам с целью выкупа.
Indrik Spider фигурировала в большом докладе CrowdStrike ещё пару лет назад, в 2018-м. Тогда компания писала, что группировка совершает масштабные атаки на банки с помощью трояна Dridex, который за годы использования показал себя как один из самых плодотворных в этой сфере. Эксперты полагают, что он позволил группировке заработать миллионы долларов.
В частности, через Dridex хакеры из Indrik Spider распространяли свой новый вирус BitPaymer и даже атаковали Национальную службу здравоохранения Великобритании, потребовав выкуп в $200 тыс. Ведущий специалист лаборатории компьютерной криминалистики Group-IB Олег Скулкин сообщил «Коммерсанту», что для распространения нынешнего DoppelPaymer злоумышленники также применяли троян Dridex.
В исходнике Dridex от 2014-го были русские комментарии. Скриншот: securelist.ru
Интересно здесь то, что Dridex запустила и использовала знаменитая группировка хакеров Evil Corp. Слухи о её российском происхождении гуляли давно, а летом 2019-го подтвердились. Тогда Национальный центр кибербезопасности Британии и ФБР раскрыли преступную сеть, которая совершала атаки около десяти лет. Также спецслужбы выявили её юрлица группировки, с помощью которых злоумышленники отмывали деньги.
Организатором Evil Corp правоохранители считают 32-летнего Максима Якубца. Некоторых его подельников арестовали, но самого хакера силовики найти не смогли, поэтому США предъявили ему обвинения заочно. Это значит, что Якубец фактически заперт в России — как только он покинет территорию страны, его задержат и экстрадируют в Штаты для суда.
ФБР официально объявило Якубца в розыск. Скриншот: nationalcrimeagency.gov.uk
По данным разработчика антивирусов McAfee, Evil Corp — это другое название Indrik Spider. По другой информации, Evil Corp просто имела подразделения в виде Indrik Spider и Doppel Spider. Первая занималась атаками с помощью BitPaymer, а вторая использовала для этого DoppelPaymer. Причём оба вируса для заражения систем задействовали троян Dridex.
Адам Майерс из CrowdStrike утверждает, что хакеры, атаковавшие клинику в Дюссельдорфе, откололись именно от группировки Indrik Spider, которая фактически и была той самой Evil Corp. Но кто именно стоит за DoppelPaymer, пока неясно. Майерс уверен, что конкретно эти хакеры, скорее всего, находятся в России.
Однако в Group-IB указывают, что в последнее время вирус начал проникать в системы через уязвимости в публично доступных приложениях, а не через Dridex. То есть пользоваться им могут и другие группировки.
Ещё больше вопросов
Изначально правоохранители предполагали, что клиника в Дюссельдорфе стала случайной жертвой хакеров. Но, как объяснили специалисты, DoppelPaymer, в отличие от своего предшественника BitPaymer, управляется вручную — операторы могут выбирать, куда именно они хотят проникнуть. Кроме того, вирус используется не только для шифрования данных с целью вымогательства, но и для похищения сведений.
Из-за этого, пишет DW, возникает предположение, что целью хакеров была именно клиника и некие данные о коронавирусе. Как раз незадолго до этого, 16 июля, канадские, британские и американские спецслужбы заявили о вероятной причастности группировки Cozy Bear, якобы связанной с российской разведкой, к серии кибератак на исследовательские учреждения трёх стран. Все они, по утверждению правоохранителей, разрабатывали вакцины от COVID-19.