+7 495 269-26-07
+7 495 419-15-03
+7 495 269-26-07 +7 495 419-15-03
Личный кабинет
Техническая поддержка:
+7 495 269-26-07
+7 495 419-15-03
  • Блог
  • Троян Kwampirs атакует медицинское оборудование

Троян Kwampirs атакует медицинское оборудование

09.04.2020

Бесперебойное функционирование системы здравоохранения – всегда в высочайшем приоритете, особенно в условиях пандемии и многократно возросшей нагрузки на медицинские учреждения по всему миру. Эксперты Angara Professional Assistance (входит в группу компаний Angara) рассказали о трояне, который атакует медоборудование, а также  о том, как его обнаружить.

На днях Федеральное бюро расследований США предупредило общественность о продолжающейся вредоносной кампании, нацеленной на цепочки поставок промышленного и особенно медицинского оборудования организаций США, Европы, Азии и Ближнего Востока – трояна удаленного доступа (RAT) под названием Kwampirs. Зловред атакует медицинскую технику, в том числе оборудование для рентгена и системы промышленного контроля (ICS). Жертвами стали как крупные национальные медицинские центры, так и небольшие клинические центры.

Сам по себе троян Kwampirs не выполняет вредоносных действий, но он был замечен в нескольких кампаниях как агент для скачивания более опасного вредоносного ПО – Disttrack и Shamoon. Поэтому своевременное обнаружение трояна необходимо для снижения рисков при функционировании ПО и оборудования. След присутствия трояна в системе можно обнаружить через следующие индикаторы компрометации (IoCs):

  • В папке %SystemRoot%/inf/ артефакты: mtmndkb32.pnf, digirps.pnf, mkdiawb3.pnf, ie11.pnf.

  • В событиях «System 7045»: изменение локализации сервиса «WMI Performance Adapter Extension» из C:\Windows\System32\wbem\WmiApSrv.exe на другую.

Полный перечень IoCs можно найти по ссылке.

Рекомендации по защите традиционны:

  • Своевременное обновление систем, сканирование на проникновение.

  • Резервное копирование рабочих конфигураций и рабочего слепка системы.

  • Использование ролевой модели и концепции минимальных прав для пользователей.

  • Использование межсетевых экранов (троян соединяется с C&C сервером), сегментации, DMZ, обратного (реверс) прокси, Web Application Firewall и других практик безопасной сетевой архитектуры.

  • Использование систем мониторинга, агентской защиты и анализа событий на наличие индикаторов компрометации.

Со своей стороны Angara Professional Assistance готова предложить организациям здравоохранения разнообразные инструменты по защите инфраструктуры от вторжений вредоносов. В частности, компания предоставляет услуги центра по мониторингу и предотвращению инцидентов информационной безопасности SOC по модели MSSP. Подробности можно узнать у консультантов Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.