___

Из инфосек сообщества приходят интересные инсайды по поводу атаки ransoware DoppelPaymer на сеть Университетской больницы в Дюссельдорфе (UKD), в результате которой погиб не получивший своевременной неотложной помощи пациент. Когда в январе 2020 года появилась информация об уязвимости CVE-2019-19781 в Citrix ADC хакеры всех мастей стали срочно пылесосить сеть на предмет выявления уязвимых серверов. Тогда же был взломан сервер UKD, благодаря чему злоумышленники проникли в сеть больницы. Администраторы UKD пропатчили свой Citrix , но бэкдор уже сидел внутри. А уже в конце лета доступ к сети UKD был продан оператору DoppelPaymer под видом доступа в сеть Университета , поскольку во взломах больничных сетей владельцы ransomware не заинтересованы и такие бэкдоры не покупают. Это частично подтверждается информацией немецкой газеты Aachener Zeitung, которая сообщила, что Citrix ADC больничной сети был своевременно обновлен еще зимой. А также тем, что оператор DoppelPaymer незамедлительно сообщил ключ расшифровки немецким властям как только был поставлен в известность о том, что атаке подверглась именно сеть UKD. Мы думаем, что из этого последует следующее. Во-первых, Evil Corp ., купившие доступ в сеть UKD, будут серьезно разбираться с продавцом. Если их, конечно, не приберут первыми. Потому что, во-вторых, последует официальный запрос из Германии в отношении Evil Corp . и российские правоохранители окажутся в щекотливой ситуации. Ибо сложно будет делать вид, что найти хакеров они не могут, когда те совершенно открыто рассекают по Москве на Ламбо . И последнее. Мы вполне допускаем, что все это - осознанная провокация одной заокеанской трехбуквенной конторы, детищем которой является APT Equation . Такие операции в их стиле, да и момент выбран уж больно удачно. Поэтому возможно, что даже никакого запроса от немецких властей не будет, а сразу последует n+1 итерация санкций.