近一段時(shí)間,Check Point公司安全報(bào)告中指出,醫(yī)院和醫(yī)療機(jī)構(gòu)已經(jīng)成為越來(lái)越多勒索軟件攻擊的目標(biāo),其中大多數(shù)攻擊都使用了臭名昭著的 Ryuk 勒索軟件。在此之前,網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA)、聯(lián)邦調(diào)查局 (FBI) 和美國(guó)衛(wèi)生與公眾服務(wù)部 (HHS) 發(fā)布了 聯(lián)合網(wǎng)絡(luò)安全公告,警告稱(chēng)醫(yī)院和醫(yī)療服務(wù)提供商面臨的網(wǎng)絡(luò)威脅日益增加,形勢(shì)十分嚴(yán)峻。
不幸的是,近兩個(gè)月來(lái),這些網(wǎng)絡(luò)犯罪威脅變得越來(lái)越猖獗。自 11 月初起,全球針對(duì)醫(yī)療機(jī)構(gòu)的攻擊又增加了 45%,是同期全球所有行業(yè)網(wǎng)絡(luò)攻擊總增幅的兩倍多。
攻擊的增加與各種媒介有關(guān),包括勒索軟件、僵尸網(wǎng)絡(luò)、遠(yuǎn)程代碼執(zhí)行和 DDoS 攻擊等。 但是,與其他行業(yè)相比,勒索軟件在醫(yī)療領(lǐng)域的增長(zhǎng)幅度最大,是醫(yī)療機(jī)構(gòu)面臨的最大惡意軟件威脅。針對(duì)醫(yī)院和相關(guān)機(jī)構(gòu)的勒索軟件攻擊尤其具有破壞性,因?yàn)槠湎到y(tǒng)發(fā)生任何中斷都有可能影響對(duì)患者的診治,并危及生命 — 所有這些又都因抗擊新冠疫情的壓力而進(jìn)一步加劇。正因如此,網(wǎng)絡(luò)犯罪分子才會(huì)更加肆無(wú)忌憚地攻擊醫(yī)療行業(yè):因?yàn)樗麄冎泪t(yī)院已經(jīng)無(wú)暇抽身,更有可能交付贖金來(lái)了事。
全球攻擊概述
自 11 月 1 日以來(lái),全球針對(duì)醫(yī)療機(jī)構(gòu)的攻擊數(shù)量增加了 45% 以上,而針對(duì)其他行業(yè)的攻擊平均增加了 22%。
11 月份每個(gè)醫(yī)療機(jī)構(gòu)平均每周遭到 626 次網(wǎng)絡(luò)攻擊,而 10 月為 430 次。
與勒索軟件、僵尸網(wǎng)絡(luò)、遠(yuǎn)程代碼執(zhí)行和 DDoS 有關(guān)的攻擊在 11 月份都有所增加。與其他行業(yè)相比,勒索軟件攻擊在醫(yī)療領(lǐng)域的增幅最大。
攻擊中使用的主要勒索軟件變體是 Ryuk,其次是 Sodinokibi。
區(qū)域攻擊數(shù)據(jù)
在受醫(yī)療機(jī)構(gòu)攻擊激增影響最大的地區(qū)中,中歐高居榜首,11 月增長(zhǎng)了 145%;其次是東亞和拉丁美洲,分別增長(zhǎng)了 137% 和 112%。歐洲和北美分別增長(zhǎng)了 67% 和 37%。
各個(gè)地區(qū)醫(yī)療領(lǐng)域的攻擊增長(zhǎng)情況
就具體的國(guó)家/地區(qū)而言,加拿大的攻擊增幅最大,高達(dá) 250% 以上,其次是德國(guó),增長(zhǎng)了 220%。西班牙醫(yī)療機(jī)構(gòu)遭到的攻擊次數(shù)增加了一倍。
為何攻擊激增?
這些黑客的主要?jiǎng)訖C(jī)是金錢(qián),他們想在短時(shí)間內(nèi)謀取暴利。在過(guò)去的一年中,網(wǎng)絡(luò)犯罪分子通過(guò)這些攻擊賺的盆滿(mǎn)缽滿(mǎn),這種成功讓他們變得欲壑難填。
如上文所述,由于新冠肺炎病例持續(xù)增加,醫(yī)院承受著巨大的壓力,他們?cè)敢庥弥Ц囤H金的方式來(lái)?yè)Q取安心的醫(yī)療服務(wù)環(huán)境。9 月,德國(guó)當(dāng)局報(bào)告稱(chēng),一次定向錯(cuò)誤的黑客攻擊導(dǎo)致杜塞爾多夫一家大型醫(yī)院的 IT 系統(tǒng)出現(xiàn)故障,一名需要緊急入院的女性患者在被送往其他城市接受治療后死亡。任何醫(yī)院或醫(yī)療機(jī)構(gòu)都不希望這種不幸再次發(fā)生,為了最大限度地減少中斷,他們更有可能滿(mǎn)足攻擊者的要求。
另外需要指出的是,普通勒索軟件攻擊通過(guò)大規(guī)模垃圾郵件和漏洞利用工具廣泛傳播,而使用Ryuk 變體對(duì)醫(yī)院和醫(yī)療機(jī)構(gòu)發(fā)起的攻擊具有高度定制性和明顯的針對(duì)性。Ryuk 最早發(fā)現(xiàn)于 2018 年年中,不久之后,Check Point Research 便發(fā)布了對(duì)這種以美國(guó)為目標(biāo)的新型勒索軟件的首次全面分析。2020 年,CPR 的 Check Point 研究人員對(duì)全球范圍內(nèi)的Ryuk 活動(dòng)進(jìn)行了監(jiān)控,發(fā)現(xiàn) Ryuk 在針對(duì)醫(yī)療行業(yè)的攻擊中的使用有所增加。
疫情之下的網(wǎng)絡(luò)安全格局
此次疫情影響了我們生活的方方面面,網(wǎng)絡(luò)安全形勢(shì)也未能幸免。從新冠病毒相關(guān)惡意域的注冊(cè)激增,到使用疫情話題進(jìn)行網(wǎng)絡(luò)釣魚(yú)和勒索軟件攻擊,甚至是出售新冠病毒疫苗的欺詐廣告,網(wǎng)絡(luò)漏洞利用程序數(shù)量空前增長(zhǎng),并且均以破壞個(gè)人數(shù)據(jù)、傳播惡意軟件和竊取金錢(qián)為目的。
醫(yī)療服務(wù)和研究組織成為攻擊目標(biāo),攻擊者試圖竊取有價(jià)值的商業(yè)情報(bào)和專(zhuān)業(yè)資訊,或破壞重要的研究工作。用于追蹤個(gè)人的測(cè)試和追蹤應(yīng)用曾引發(fā)有關(guān)隱私的強(qiáng)烈爭(zhēng)議,現(xiàn)今已在全球范圍內(nèi)得到廣泛采用,并且預(yù)計(jì)在疫情過(guò)后仍將繼續(xù)使用。由于全球焦點(diǎn)持續(xù)集中在抗疫上,網(wǎng)絡(luò)犯罪分子也在不斷設(shè)法利用這一點(diǎn)來(lái)達(dá)到自己的非法目的 —— 因此,組織和個(gè)人都必須保持良好的網(wǎng)絡(luò)安全意識(shí),以防落入黑客以疫情為誘餌的圈套。
勒索軟件和網(wǎng)絡(luò)釣魚(yú)攻擊防范技巧
(1) 注意木馬感染 —— 勒索軟件攻擊并非始于勒索軟件。Ryuk 和其他類(lèi)型的勒索軟件程序通常都從植入木馬病毒入手。這種木馬感染通常發(fā)生在勒索軟件攻擊開(kāi)始前的幾天或幾周,因此專(zhuān)業(yè)安全人員應(yīng)提防網(wǎng)絡(luò)感染 Trickbot、Emotet、Dridex 和 Cobalt Strike,使用威脅搜尋解決方案消除這些病毒,避免為 Ryuk 打開(kāi)大門(mén)。
?。?) 周末和節(jié)假日提高警惕 —— 近一年來(lái),大多數(shù)勒索軟件攻擊都發(fā)生在 IT 和安全人員較少值班的周末和節(jié)假日。
?。?) 使用反勒索軟件解決方案 —— 雖然勒索軟件攻擊很復(fù)雜,但具有補(bǔ)救功能的反勒索軟件解決方案可有效幫助組織在遭到感染后的短短幾分鐘內(nèi)恢復(fù)正常。
?。?) 對(duì)員工進(jìn)行有關(guān)惡意電子郵件的培訓(xùn)——培訓(xùn)用戶(hù)如何識(shí)別和避免潛在的勒索軟件攻擊至關(guān)重要。當(dāng)前的許多網(wǎng)絡(luò)攻擊都始于一封有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)電子郵件,該電子郵件甚至不包含惡意軟件,只包含一則引誘用戶(hù)點(diǎn)擊惡意鏈接或提供特定信息的社交工程消息。培訓(xùn)用戶(hù)識(shí)別這些類(lèi)型的惡意電子郵件通常是組織可以部署的最重要的防御措施之一。
(5) 虛擬補(bǔ)丁 —— 聯(lián)邦調(diào)查局的建議是對(duì)舊版軟件或系統(tǒng)打補(bǔ)丁,但這對(duì)于醫(yī)院來(lái)說(shuō)是不可能的,因?yàn)樵谠S多情況下系統(tǒng)無(wú)法打補(bǔ)丁。因此,我們建議使用具有虛擬打補(bǔ)丁功能的入侵防御系統(tǒng)IPS,防止黑客嘗試?yán)么嗳跸到y(tǒng)或應(yīng)用中的漏洞。IPS 將保持更新,確保您的組織受到保護(hù)。