Опасения нарушения данных LabCorp были необоснованными. Это была атака вымогателей.
Лабораторная корпорация America Holdings или LabCorp насчитывает 60 тысяч сотрудников по всему миру, помогает проводить клинические испытания в почти 100 странах и обрабатывает около 2,5 миллионов лабораторных испытаний каждую неделю. Это означает, что LabCorp обрабатывает и хранит потенциально очень конфиденциальные данные, связанные со здоровьем миллионов людей. Как вы можете себе представить, когда компания объявила, что обнаружила «подозрительную активность» в своей ИТ-сети, реакция была не совсем положительной. Люди искренне боялись информации о своем здоровье. Оказывается, им не о чем было беспокоиться.
Эта новость прозвучала в понедельник, когда компания подала 8-K заявку в Комиссию по ценным бумагам и биржам. В документе ничего не сказано, кроме того факта, что на выходных некоторые компьютеры и серверы LabCorp работали необычно. Хотя регистрация предполагает, что ИТ-команда компании не имела представления о том, с чем они имели дело в то время, многие системы были закрыты, чтобы предотвратить какой-либо реальный ущерб.
Вчера ОГО сообщило более подробную информацию о нападении. По-видимому, в полночь 13 июля хакеры начали свои попытки проникновения в сеть LabCorp, взломав учетные данные для входа в систему протокола удаленного рабочего стола (RDP). К 6 часам вечера 14 июля они уже были на месте и сбросили полезную нагрузку - разновидность вымогателей, известных как SamSam.
Хорошие новости
Очевидно, что кибератака никогда не может быть хорошей новостью, особенно для целевой организации, но в этом случае мы совершенно уверены, что и сотрудники LabCorp, и пациенты вздохнули с облегчением, узнав, что сеть лаборатории пострадала с помощью вымогателей.
Альтернативой было вредоносное ПО, которое крадет и раскрывает данные пациентов, которые могли иметь разрушительные последствия. После тщательного изучения доказательств, LabCorp уверенно заявляет, что не было утечки информации. Таким образом, вы можете определенно сказать, что это могло быть намного хуже.
Узнав об атаке, ИТ-команда LabCorp немедленно начала отключать системы в попытке ограничить ущерб. В течение пятидесяти минут заражение было сдержано, но к тому времени SamSam уже успел зашифровать данные на 7000 систем и 1900 серверах.
Несмотря на существенный ущерб, который они нанесли, хакеры ушли с пустыми руками. Согласно официальным объявлениям, вымогатель был «удален», что говорит о том, что у LabCorp были рабочие резервные копии, откуда они восстанавливали зашифрованную информацию. Компания утверждает, что большинство операций по тестированию было возобновлено и что через несколько дней все вернется на круги своя.
В целом, реакция LabCorp на атаку заслуживает определенной похвалы. Компания отреагировала быстро, и вымогатель был задержан до того, как смог полностью разрушить инфраструктуру лабораторной сети. После этого их ответственное управление конфиденциальными данными помогло гарантировать, что никакая информация не будет потеряна.
Не очень хорошие новости
LabCorp еще не определили точную разновидность вымогателей, но ОГО и их источники, похоже, вполне уверены, что это SamSam, потому что эта конкретная семья за последний год пострадала больше, чем в нескольких медицинских организациях. Более того, несмотря на то, что это не единственный вирус заражения, банда SamSam часто атакует жертв с помощью грубых учетных данных RDP.
Опять же, детали до сих пор неясны, но факты свидетельствуют о том, что у LabCorp не было двухфакторной аутентификации, защищающей их учетные записи RDP. Другими словами, были доказательства того, что LabCorp является потенциальной целью, и все же, несмотря на то, что он хорошо отреагировал на атаку, он не смог сделать ни одного шага, который мог бы остановить его.
Эксперты часто говорят, что хакеру нужно добиться успеха только один раз, чтобы начать успешную атаку. Пользователи и организации на другом конце, однако, необходимо, чтобы добиться успеха все время, если они предотвратить инцидент безопасности. Атака вымогателей на LabCorp доказывает, насколько правильно это утверждение.
