最近,Check Point公司安全报告指出,医院和医疗机构已成为越来越多勒索软件攻击的目标,其中大部分使用臭名昭著的 Ryuk 勒索软件。在此之前,网络安全与基础设施安全局 (CISA)、 联邦调查局(FBI) (HHS) 发布了 联合网络安全公告,警告医院和医疗服务提供商面临越来越严重的网络威胁。
不幸的是,在过去的两个月里,这些网络犯罪的威胁变得越来越猖獗。自 11 月初以来,全球对医疗机构的攻击增加了 45%,是同期全球各行业网络攻击总增长的两倍多。
攻击的增加与勒索软件、僵尸网络、远程代码执行和 有关DDoS 攻击等。 然而,与其他行业相比,勒索软件在医疗领域的增长最大,是医疗机构面临的最大恶意软件威胁。对医院及相关机构的勒索软件攻击尤其具有破坏性,因为其系统的任何中断都可能影响患者的诊断和治疗,并危及生命 — 所有这些都进一步加剧了抗击新冠肺炎疫情的压力。正因为如此,网络犯罪分子会更肆无忌惮地攻击医疗行业:因为他们知道医院没有时间离开,更有可能交赎金。
全球攻击概述
- 11 月1 日以来,全球医疗机构攻击量增加 45%以上,其他行业攻击平均增加 22%。
- 11 每个医疗机构平均每周遭受 626 网络攻击, 10 430 。
- 与勒索软件、僵尸网络、远程代码执行DDoS 相关攻击在 11 月增加。与其他行业相比,勒索软件攻击在医疗领域增长最大。
- 攻击中使用的主要勒索软件变体是 Ryuk,其次是 Sodinokibi。
区域攻击数据
在受医疗机构攻击激增影响最大的地区,中欧排名第一,11 月增长 145%;其次,东亚和拉丁美洲分别增长 137% 和 112%。欧洲和北美分别增长 67% 和 37%。
各地区医疗领域攻击增长
就具体国家/地区而言,加拿大攻击增长最大,高达 250%以上,其次是德国,增长 220%。西班牙医疗机构的攻击次数翻了一番。
为什么攻击激增?
这些黑客的主要动机是金钱,他们想在短时间内牟取暴利。在过去的一年里,网络犯罪分子通过这些攻击赚了很多钱,这使他们难以填补。
如上所述,由于新冠肺炎病例的不断增加,医院承受着巨大的压力,他们愿意通过支付赎金来换取安心的医疗服务环境。9 1月,德国当局报告称,杜塞尔多夫一家大型医院遭受了一次错误的黑客攻击 IT 系统出现故障,一名需要紧急住院的女性患者在被送往其他城市接受治疗后死亡。任何医院或医疗机构都不希望这种不幸再次发生。为了尽量减少中断,他们更有可能满足攻击者的要求。
此外,需要指出的是,普通勒索软件攻击通过大规模垃圾邮件和漏洞利用工具广泛传播Ryuk 对医院和医疗机构发起的攻击具有高度定制和明显的针对性。Ryuk 最早发现于2018年 年中,不久之后,Check Point Research 发布了首次全面分析以美国为目标的新型勒索软件。2020年 ,CPR 的 Check Point 研究人员对全球范围内对待Ryuk 活动监控,发现 Ryuk 在医疗行业攻击中的应用增加。
疫情下的网络安全格局
疫情影响了我们生活的方方面面,网络安全形势未能幸免。从新冠肺炎恶意领域注册激增,到利用疫情话题攻击网络钓鱼勒索软件,甚至出售新冠肺炎疫苗的欺诈广告,网络漏洞利用程序数量空前增加,都是为了破坏个人数据,传播恶意软件,窃取金钱。
医疗服务和研究组织成为攻击目标,攻击者试图窃取有价值的商业信息和专业信息,或破坏重要的研究工作。个人测试和跟踪应用的跟踪引起了强烈的隐私争议,目前已广泛应用于世界各地,预计疫情后将继续使用。由于全球焦点继续集中在抗疫上,网络犯罪分子也在努力利用这一点来达到非法目的 —— 因此,组织和个人必须保持良好的网络安全意识,防止落入黑客以疫情为诱饵的陷阱。
勒索软件和网络钓鱼攻击防范技巧
(1)注意木马感染 —— 勒索软件攻击不是从勒索软件开始的。Ryuk 和其他类型的勒索软件程序通常从植入木马病毒开始。这种木马感染通常发生在勒索软件攻击开始前几天或几周,因此专业安全人员应注意网络感染 Trickbot、Emotet、Dridex 和 Cobalt Strike,使用威胁搜索解决方案消除这些病毒,避免 Ryuk 开门。
(2) 周末和节假日提高警惕 —— 近一年来,大多数勒索软件攻击都发生在 IT 周末和节假日,安全人员较少值班。
(3) 使用反勒索软件解决方案—— 虽然勒索软件攻击非常复杂,但具有补救功能的反勒索软件解决方案可以有效地帮助组织在感染后几分钟内恢复正常。
(4)培训员工恶意电子邮件——如何识别和避免潜在的勒索软件攻击对培训用户至关重要。目前,许多网络攻击始于一封有针对性的网络钓鱼电子邮件,甚至不包括恶意软件,只包括一条社交工程新闻,引诱用户点击恶意链接或提供特定信息。培训用户识别这些类型的恶意电子邮件通常是组织可以部署的最重要的防御措施之一。
(5) 虚拟补丁 —— 联邦调查局的建议是对旧版软件或系统打补丁,但这对于医院来说是不可能的,因为在许多情况下系统无法打补丁。因此,我们建议使用具有虚拟打补丁功能的入侵防御系统IPS,防止黑客在应用中尝试使用脆弱的系统或漏洞。IPS 将保持更新,以确保您的组织受到保护。