10月26日,安全博客KrebsOnSecurity得到可靠消息称,某以勒索软件攻击闻名的俄罗斯网络犯罪团伙正准备对美国数百家医院、诊所及医疗机构的信息技术系统展开攻击。10月28日,美国联邦调查局与国土安全部官员紧急召开电话会议,向医疗服务行业高管发布警告,强调“针对美国医院与医疗保健服务商的网络犯罪威胁已经迫在眉睫。”
在此次电话会议中,包括美国卫生与公共服务部(HHS)在内的各机构向与会者发出警告,“有可靠消息称,针对美国各医院与医疗服务商的网络犯罪威胁正日益增长并已迫在眉睫。”
各机构表示,他们正在积极共享信息,“旨在向医疗服务商发布警告,确保他们采取及时且合理的预防措施以保护自身网络免受威胁侵害。”
此次披露的可靠消息由总部位于密尔沃基的网络情报公司Hold Security创始人Alex Holden提供。各方在收到消息的24小时之内即全面发布了此项警告。Holden表示,他本周看到了与俄语区勒索软件组织Ryuk有所关联的网络罪犯之间的在线通信内容,该组织成员正在讨论此次针对美国400多家医疗机构的勒索软件攻击计划。
但一位与会者表示,各政府机构基本没有就各医疗保健组织如何提高保护水平、抵御威胁因素做出详细指示,也没有提供关于恶意软件攻击活动的具体细节。
一位参与会议的医疗行业资深人士表示,“他们没有共享任何IoC,只提醒各医疗组织‘修复系统并上报一切可疑事件’。”
其他参与会议的人员则表示,对于已经遭到Ryuk渗透的医院而言,危害指标可能发挥不了任何作用。这是因为Ryuk组织在攻击不同受害者时会使用固定的恶意软件基础设施,比如每次在受感染的主机上传播不同的Windows可执行文件、并配合在各已入侵主机系统间传递数据的不同“命令与控制”服务器。
尽管如此,网络安全事件响应公司Mandiant今天还是公布了Ryuk组织在2020年年内所有攻击活动中所使用的域名与互联网地址列表。Mandiant方面将该集团编号为“UNC1878”,并在今天进行的网络直播中详细介绍了Ryuk最近采取的各类入侵策略。
Mandiant公司高级副总裁Charles Carmakal在接受路透社采访时表示,UNC1878是他在职业生涯中观察到的最激进、最残酷也最具破坏性的威胁组织之一。
Carmakal指出,“多家医院此前已经遭到Ryuk勒索软件的严重影响,并导致内部网络被迫离线。”
一位参加此次电话会议、并要求匿名采访的医疗行业资深人士表示,如果这一波攻击确实指向数百家医疗机构,那么此轮行动的覆盖范围明显超出了任何医疗集团的固有范畴,可能意味着其真实目标是某家与众多医疗机构相集成的电子健康记录供应商。
截至目前,医疗行业上报的勒索软件事件并没有明显增加。只是过去几天中,确实有少数几家医院遭遇到勒索软件攻击的影响。
-
Becker’s Hospital Review 今天报道称,勒索软件攻击了俄勒冈州克拉马斯福尔斯Sky Lakes医疗中心内部的计算机系统。
-
来自纽约的WWNY’s Channel 7 News则于昨天报道称,Ryuk勒索软件对St. Lawrence Health System开展攻击,并导致Caton-Potsdam、Messena以及Gouverneur等医院的计算机受到感染。
-
SWNewsMedia.com 于本周一宣布发生了“未确认网络活动”,导致明尼苏达州瓦科尼亚Ridgeview医疗中心的部分运营系统中断。SWNews方面表示,Ridgeview的医疗体系涵盖查斯卡当地的12处医疗中心、3家医院、多家诊所以及周边其他急诊与长期护理设施。
事件仍在继续,我们将持续关注最新进展。
