随着世界各地的医院努力应对冠状病毒危机,网络犯罪分子一直在使用勒索软件和恶意信息窃取程序、研究机构和其他政府组织瞄准医疗机构。由PaloAltoNetworks发布并与黑客新闻分享的这项新研究证实,“从网络犯罪中获利的威胁行为者将在任何程度上发挥作用,包括针对最前沿的组织和流行病。”虽然这家安全公司没有透露最新受害者的名字,但它表示加拿大政府医疗机构和加拿大医学研究大学受到勒索软件的攻击,因为加拿大犯罪组织试图利用这场危机获取经济利益。攻击。攻击发生在3月24日至3月之间26,作为最近几个月流行的以冠状病毒为主题的网络钓鱼活动的一部分发起。帕洛阿尔托网络公司的披露是在美国卫生与公共服务部(HHS)、生物技术公司10xGenomics、大学受到网络攻击之际发布的捷克共和国布尔诺医院和Hammersmith医学研究所在过去几周遭受了利用CVE-2012-0158提供的勒索软件据研究人员称,该活动始于从模仿世界卫生组织的欺骗地址发送的恶意电子邮件(noreply@who[.]int),已发送给与医疗保健相关的许多个人响应工作或积极参与COVID-19的组织。电子邮件诱饵包含一个名为“20200323-sitrep-63-covid-19.doc”的富文本格式(RTF)文档,打开后会尝试利用已知的缓冲区溢出漏洞(CVE-2012-0158)来传播EDA2勒索软件.),在Microsoft的ListView/TreeViewActiveX控件中的MSCOMCTL.OCX库中。“有趣的是,即使文件名清楚地指明了具体日期(2020年3月23日),但文件名在活动期间并未更新以反映当前日期,”PaloAltoNetworks研究人员指出。“有趣的是,恶意软件作者并没有试图以任何方式使他们的诱饵看起来合法;从文档的第一页可以明显看出有问题。“执行后,勒索软件二进制文件会联系命令和控制(C2)服务器,在受害者的设备上下载图像,作为主要的勒索软件感染通知,然后传输主机详细信息以创建自定义密钥来加密文件。系统桌面扩展名“.locked20”。除了接收密钥外,受感染的主机还会使用HTTPPost请求将使用AES加密的解密密钥发送到C2服务器。PaloAltoNetworks根据二进制文件的代码结构以及勒索软件基于主机和基于网络的行为,勒索软件变种被确定为EDA2。EDA2和HiddenTear被认为是首批为教育目的而创建的开源勒索软件,但后来被黑客滥用以追赶他们自己的利益。勒索软件事件的激增是与大流行相关的其他网络攻击增加的结果。其中包括大量试图使用t说服人们点击恶意软件或勒索软件下载链接到他们的计算机的危机。此外,CheckPointResearch的2020年第一季度品牌网络钓鱼报告指出,移动网络钓鱼的数量激增。攻击者被发现模仿Netflix、Airbnb和大通银行等流行服务来窃取登录凭据。由于医院继续受到时间限制和大流行病的压力,黑客指望这些组织支付赎金以恢复对关键系统的访问并防止患者护理中断。RisKIQ上周发布的一份报告发现,2016年至2019年间,针对医疗机构的勒索软件攻击增加了35%,在127起事件中,平均赎金需求为59,000美元。网络安全公司Hackers也青睐规模较小的医院和医疗中心,理由是简化了安全支持、增加了注意力和赎金要求的可能性等。针对医疗行业的勒索软件攻击激增促使国际刑警组织向成员国发出有关威胁的警告。该机构表示:“网络犯罪分子正在使用勒索软件以数字方式控制医院和医疗保健服务,阻止他们访问关键文件和系统,直到支付赎金。”为了保护系统免受此类攻击,国际刑警组织警告组织要警惕网络钓鱼企图,加密敏感数据并定期备份数据,此外还应将它们离线存储或存储在其他网络上以阻止网络犯罪分子。面对不法分子借疫情之名发起的钓鱼攻击,广大民众应提高警惕,加强防范,防止攻击者乘虚而入。、即时通信工具和其他与新型冠状病毒相关的渠道、可执行程序或文件。不要轻易在链接站点输入个人账户、密码、金融账户等敏感信息或进行支付交易。不要关闭杀毒软件的更新功能,及时更新杀毒软件。不要通过非正式渠道进行捐赠。信息安全与我们的日常生活息息相关。在疫情特殊时期,个人应提高保护自身信息安全的意识。企业应当依法收集、使用个人信息。各大金融机构复工复工要依法合规。、监管规定和相关技术标准等,确保特殊时期不被不法分子利用。
