Программа-вымогатель Trinity использует уязвимости для шифрования данных в медучреждениях США

Программа-вымогатель Trinity использует уязвимости для шифрования данных в медучреждениях США

Медицинские учреждения США стали жертвой новой программы-вымогателя Trinity.

По данным Министерства здравоохранения и социальных служб США, тактика и методы группы, стоящей за Trinity, представляют собой «значительную угрозу» для сектора здравоохранения и общественного здоровья США. Эксперты отметили, что впервые программу обнаружили в мае 2024 года.

По имеющимся данным, Trinity нанес вред по крайней мере 7 организациям, 2 из которых работают в области здравоохранения. Одним из пострадавших стал американский поставщик гастроэнтерологических услуг, у которого похитили 330 ГБ данных. Учреждение, на сайте которого ранее было размещено сообщение о технических проблемах и ограниченном доступе к телефонным системам, пока не было идентифицировано, но упоминается на сайте утечек Trinity. Другой случай был зафиксирован в Великобритании. Кроме того, исследователи сообщили о другом инциденте с группой стоматологов из Нью-Джерси.

Эксперты обращают внимание на схожесть Trinity с двумя другими видами программ-вымогателей — 2023Lock и Venus. Это указывает на возможное сотрудничество между группами киберпреступников. Как и другие подобные программы, Trinity использует известные уязвимости для кражи данных и вымогательства.

После установки программа собирает данные о системе, включая информацию о процессорах и подключенных дисках, а затем сканирует сеть на наличие уязвимостей для дальнейшего распространения. Зашифрованные файлы получают расширение «trinitylock», после чего на рабочем столе или в папках с зашифрованными данными появляется записка с требованиями выкупа.

Программа также пытается повысить свои права доступа, имитируя законные процессы, что позволяет обходить меры безопасности. Trinity сканирует сеть и передвигается по ней, заражая другие системы.

В записке содержатся инструкции и контактный адрес электронной почты. Пострадавшим дается 24 часа на оплату выкупа в криптовалюте, в противном случае данные будут опубликованы. Специалисты отметили, что в настоящий момент методов для расшифровки данных не существует. Операторы программы используют два сайта — один для помощи тем, кто заплатил выкуп, а второй — для демонстрации украденных данных с целью давления на жертв.

Также было установлено, что программы Trinity и Venus имеют общие черты в кодовой базе и методах шифрования, что может говорить о том, что Trinity является новой версией 2023Lock. Подобные заключения были сделаны и другими исследователями, которые отмечают, что Trinity может быть ребрендом программ Venus и 2023Lock.

Для борьбы с данной угрозой специалисты рекомендуют сегментировать сети, использовать резервное копирование и обновлять программное обеспечение.