Министерство здравоохранения и социальных служб (HHS) предупредило медицинские организации по всей территории США о надвигающейся волне кибератак с использованием вымогательского ПО Venus. Сообщение поступило после недавнего взлома одной неназванной медицинской организации.
Согласно отчету Центра кибербезопасности сектора здравоохранения, после атаки в даркнете не появилось ничего, что могло бы указывать на виновных в произошедшем. Специалисты предполагают, что операторы Venus работают по модели Программа-вымогатель как услуга (Ransomware-as-a-Service, RaaS) — это бизнес-модель, при которой программа-вымогатель сдается в аренду киберпреступникам.
Разработчик вымогательского ПО предоставляет готовый код шифровальщика другим хакерам. Клиент арендует код шифровальщика у его автора, настраивает его под себя, а затем использует в атаках по своему усмотрению.
В Raas-модели разработчик программы-вымогателя забирает себе небольшой процент от выкупа жертвы, а большая часть средств достается атакующему.
» data-html=»true» data-original-title=»RaaS»>RaaS и на данный момент не имеют своего сайта, на котором выкладываются данные жертв.
Вымогательское ПО Venus было обнаружено в середине августа 2022 года и быстро распространилась по миру. Известно, что после заражения жертвы вредонос завершает 39 процессов, связанных с серверами баз данных и приложениями Microsoft Office. Кроме того, он пытается использовать службы удаленных рабочих столов для получения доступа к целевым конечным точкам. Особой фишкой Venus является удаление логов, тома с теневыми копиями и отключение Data Execution Prevention.
Чтобы снизить риски заражения Venus, ИБ-специалисты рекомендуют медицинским организациям внедрить решения для защиты электронной почты, добавлять баннеры в электронные письма из внешних источников, отключить гиперссылки в электронных письмах и регулярно обучать сотрудников базовым принципам информационной гигиены и кибербезопасности.