近日,CheckPoint安全报告指出,医院和医疗机构成为越来越多勒索软件攻击的目标,其中大部分都使用了臭名昭著的Ryuk勒索软件。此前,网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和美国卫生与公众服务部(HHS)发布了联合网络安全咨询,针对医院和医疗保健提供者的网络威胁日益增加的警告那天,情况很严重。不幸的是,这些网络犯罪威胁在过去两个月中变得更加强大。自11月初以来,针对医疗保健组织的全球攻击又增加了45%,是同期全球所有行业网络攻击增加量的两倍多。攻击的增加与各种媒介有关,包括勒索软件、僵尸网络、远程代码执行和DDoS攻击等。然而,与其他行业相比,勒索软件在医疗保健领域增长最快,是医疗保健组织面临的最大恶意软件威胁。针对医院和相关机构的勒索软件攻击尤其具有破坏性,因为对其系统的任何破坏都可能影响患者护理并危及生命——抗击COVID-19大流行的压力进一步加剧了这一切。这就是网络犯罪分子更加肆无忌惮地攻击医疗保健行业的原因:知道医院时间不多了,他们更有可能支付赎金。全球攻击概述自11月1日以来,全球针对医疗保健组织的攻击数量增加了45%以上,而针对其他行业的攻击数量平均增加了22%。11月,每个医疗机构平均每周遭受626次网络攻击,而10月为430次。与勒索软件、僵尸网络、远程代码执行和DDoS相关的攻击在11月份都有所增加。与其他行业相比,勒索软件攻击在医疗保健领域的增幅最大。攻击中使用的主要勒索软件变体是Ryuk,其次是Sodinokibi。区域攻击数据在受医疗设施攻击激增影响最严重的地区中,中欧位居榜首,11月增长了145%;其次是东亚和拉丁美洲,分别增长了137%和112%。欧洲和北美分别增长了67%和37%。按地区划分的医疗保健攻击增长按国家/地区划分,加拿大的攻击增幅最大,超过250%,其次是德国,增幅为220%。对西班牙医疗机构的袭击次数翻了一番。为什么攻击激增?这些黑客的主要动机是金钱,他们想在短时间内赚取巨额利润。在过去的一年里,网络犯罪分子从这些攻击中赚取了如此多的钱,以至于他们的成功让他们如饥似渴。前文提到,由于新冠肺炎病例数不断增加,医院承受着巨大的压力,愿意付出赎金来换取安全的医疗服务环境。9月,德国当局报告说,一次错误的黑客攻击导致杜塞尔多夫一家主要医院的IT系统出现故障,一名需要紧急入院的女性患者在被送往另一个城市接受治疗后死亡。没有医院或医疗机构希望这种不幸再次发生,并且为了尽量减少中断,他们更有可能满足攻击者的要求。还值得指出的是,虽然普通的勒索软件攻击通过大量垃圾邮件和漏洞利用工具包广泛分布,但使用Ryuk变体对医院和医疗保健设施的攻击是高度定制和明确的目标。Ryuk于2018年年中首次被发现,此前不久,CheckPointResearch发布了针对这种针对美国的新型勒索软件的首次综合分析。2020年,CPR的CheckPoint研究人员监测了世界各地的Ryuk活动,发现Ryuk在针对医疗保健行业的攻击中的使用有所增加。疫情下的网络安全格局疫情影响到我们生活的方方面面,网络安全形势也未能幸免。从与COVID-19相关的恶意域注册激增,到使用大流行主题的网络钓鱼和勒索软件攻击,甚至是销售COVID-19疫苗的欺诈性广告,网络攻击的数量都处于历史最高水平,所有这些都在破坏个人数据和传播恶意软件以及窃取金钱的名称。医疗保健服务和研究组织正成为攻击者的目标,他们试图窃取有价值的商业情报和专业知识,或破坏重要的研究工作。用于跟踪个人的测试和跟踪应用程序引发了关于隐私的激烈争议,现在在世界范围内被广泛采用,预计在大流行之后仍将继续使用。随着全球关注焦点持续聚焦抗击疫情,网络犯罪分子不断想方设法利用这一点达到不正当目的——因此组织和个人必须保持良好的网络安全意识,以防止黑客利用这一流行病作为借口。诱捕陷阱。勒索软件和网络钓鱼攻击预防技巧(1)谨防木马感染-勒索软件攻击不是从勒索软件开始的。Ryuk和其他类型的勒索软件程序通常从植入木马病毒开始。这种木马感染通常发生在勒索软件攻击开始前几天或几周,因此安全专业人员应提防网络感染Trickbot、Emotet、Dridex和CobaltStrike,使用威胁搜寻解决方案来消除这些病毒,避免为Ryuk开门。(2)周末和节假日保持警惕——近一年来,大多数勒索软件攻击都发生在周末和节假日,这时IT和安全人员的空闲时间较少。(3)使用反勒索软件解决方案——虽然勒索软件攻击很复杂,但具有补救功能的反勒索软件解决方案可以有效地帮助组织在被感染后的几分钟内恢复。(4)对员工进行恶意电子邮件培训——培训用户如何识别和避免潜在的勒索软件攻击至关重要。当今的许多网络攻击都是从一封有针对性的网络钓鱼电子邮件开始的,这些电子邮件甚至不包含恶意软件,只是一条社会工程邮件,诱使用户点击恶意链接或提供特定信息。培训用户识别这些类型的恶意电子邮件通常是组织可以部署的最重要的防御措施之一。(5)VirtualPatching——FBI的建议是对遗留软件或系统进行修补,但这对医院来说是不可能的,因为在很多情况下系统无法修补。因此,我们建议使用具有虚拟补丁功能的IPS,以防止黑客试图利用易受攻击的系统或应用程序中的漏洞。IPS将保持更新以确保您的组织受到保护。
