Российский вирус-вымогатель прикончил пациентку в Дюссельдорфе

На этой неделе власти одной из земель Германии, как ожидается, представят свои выводы об организаторах хакерской атаки на местную больницу, в результате которой погибла пациентка. Для России их заключение может стать неприятным сюрпризом: в ходе предварительного расследования немецкие эксперты пришли к выводу, что за диверсией стоят хакеры из России. И хоть на сей раз они не подозревают российские спецслужбы, имидж России может серьезно пострадать.

Министерство юстиции земли Северный Рейн—Вестфалия должно в ближайшее время представить заключение о том, какие обстоятельства привели к гибели 78-летней местной жительницы в ночь на 11 сентября. В тот вечер женщине срочно потребовалась медицинская помощь, она вызвала бригаду, но, когда приехали медики, выяснилось, что ближайшая крупная больница — Университетская клиника города Дюссельдорфа — временно не принимает пациентов.

Накануне серверы этой клиники поразил вирус-вымогатель. Злоумышленники заблокировали доступ к базам данных, системам мониторинга за работой аппаратуры и прочим важным функциям, потребовав связаться с ними по электронной почте для обсуждения условий «выкупа» данных.

Женщину пришлось везти в другую клинику, в часе езды от Дюссельдорфа. Жизнь ее в итоге спасти не удалось. Правоохранительные органы, 17 сентября обнародовавшие информацию о случившемся, пришли к предварительному выводу, что причиной смерти стала не вовремя оказанная помощь. Прокуратура начала расследование по статье «убийство по неосторожности».

Криминалисты обратились по адресу, указанному взломщиками, сообщив им, что их действия привели к гибели человека. Те сразу выслали цифровой ключ для разблокировки данных, не потребовав денег.

Правоохранители пришли к выводу, что группировка собиралась заблокировать серверы Университета Дюссельдорфа, но по ошибке парализовала и работу клиники.
Ряд экспертов по кибербезопасности заявили, что это первый доказанный случай гибели пациента в результате атаки на медицинское учреждение. В целом же компьютерные диверсии в отношении больниц, к сожалению, не редкость. Так, например, в июле 2019 года хакерам с помощью вируса-вымогателя удалось парализовать несколько клиник немецкого Красного Креста (DRK) в Рейнланд-Пфальце и Сааре. В связи с этим больницы в Северном Рейне—Вестфалии регулярно проверяли свою защищенность от кибератак и сотрудничали с властями. После гибели пациентки министр науки этой земли Изабель Пфайффер-Пёнсген пообещала, что финансирование IT-безопасности клиник увеличится.

Но для России в этой ситуации важен еще один аспект: на прошлой неделе министерство юстиции Северного Рейна—Вестфалии обнародовало доклад, в котором сказано, что за атакой может стоять «хакерская группировка из России». В ходе взлома был задействован вирус-вымогатель DoppelPaymer, а его, как отмечается в документе со ссылкой на неназванные «частные компании в сфере кибербезопасности», чаще всего используют именно российские хакеры.

О том, что за этим вирусом стоят злоумышленники из России, говорили, в частности, представители известной американской компании Crowdstrike.
Известность она приобрела прежде всего благодаря тому, что в 2016 году первой заявила, что сервер Демократической партии США взломали ФСБ и ГРУ. Именно обвинительный доклад Crowdstrike лег в основу заключений спецслужб США о том, что Россия вмешалась в американские президентские выборы.

Российские эксперты между тем отмечают, что DoppelPaymer могут пользоваться разные группировки. «Программа-вымогатель DoppelPaymer была впервые обнаружена исследователями в апреле 2019 года. Как и для распространения ее предшественника, вымогателя BitPaymer, злоумышленниками первое время использовался печально известный банковский троян Dridex, который у исследователей ассоциируется с хакерской группой Evil Corp, имеющей русские корни,— пояснил “Ъ” ведущий специалист лаборатории компьютерной криминалистики Group-IB Олег Скулкин.— Но впоследствии операторы DoppelPaymer начали использовать и иные методы первоначального доступа, например уязвимости в публично доступных приложениях, что может указывать на то, что данной программой могут пользоваться несколько групп».

Тем не менее эта история может весьма негативно сказаться на имидже России в Германии.

Ранее власти ФРГ уже обвиняли российских хакеров в атаках на важные ресурсы страны, включая серверы Бундестага. По мнению Берлина, за взломом систем немецкого парламента в 2015 году стоят российские спецслужбы, пытавшиеся таким образом собрать секретную информацию о готовящихся законодателями решениях. И хоть на сей раз об участии властей РФ в организации атаки речи не идет, заголовки немецких СМИ говорят о том, что в нюансах никто особо разбираться не станет.