近日,據(jù)外媒報道稱,又一家美國醫(yī)院已經(jīng)淪為勒索軟件攻擊的受害者。遭到勒索軟件攻擊后,醫(yī)院員工被迫使用紙筆進行工作,而為了擺脫勒索軟件帶來的困擾,該醫(yī)院最終選擇支付給攻擊者大約6萬美元贖金。
據(jù)悉,犯罪分子使用SamSam勒索軟件成功感染了印第安納州漢考克醫(yī)院的網(wǎng)絡系統(tǒng),隨后要求該醫(yī)院支付贖金以提供解鎖密鑰恢復文件。攻擊事件發(fā)生在1月11日晚上9:30左右,當時犯罪分子掃描到了一個可利用的遠程桌面協(xié)議(RDP)服務器,隨后便將勒索軟件注入連接的計算機中。
其實早在2016年初,醫(yī)療IT團隊就已經(jīng)收到了有關“醫(yī)院將成為Samsam勒索軟件的攻擊目標”的警告,但是此次事件表明,這種警告并沒有引起醫(yī)療行業(yè)的重視。
該惡意軟件已經(jīng)遍布整個系統(tǒng)網(wǎng)絡,且能夠加密“醫(yī)院的許多信息系統(tǒng)”(如電子郵件、電子病歷及其他內(nèi)部操作系統(tǒng)等),迫使醫(yī)院員工不得不回歸到紙筆辦公的時代。
因為美國流感季節(jié)已經(jīng)到來,醫(yī)院的工作量將大幅增加,所以漢考克健康管理人員求助聯(lián)邦調(diào)查局網(wǎng)絡犯罪專案組和第三方IT專家迅速幫其恢復加密的文件系統(tǒng),但不幸的是文件無法及時恢復。在各種努力無效的情況下,該醫(yī)院最終在事件發(fā)生后的第二日選擇向攻擊者支付了4比特幣的贖金。
漢考克的首席執(zhí)行官史蒂夫·隆(Steve Long)在一份聲明中表示:
攻擊發(fā)生時,我們醫(yī)院正處于非常危險的境地,因為暴風雪的天氣因素,加上流感季節(jié)的來臨,醫(yī)院工作量激增,所以我們迫切需要盡快恢復系統(tǒng)運作,避免延誤治療時機加重患者病情。盡管我們醫(yī)院存有備份,但是從備份中恢復需要耽誤太長時間。因此,我們決定支付4比特幣的贖金,以求盡快恢復醫(yī)院系統(tǒng)全面運作。
SamSam要求受害者按時繳付贖金
恢復運行
該勒索軟件背后的操縱者在收到贖金后,已經(jīng)為醫(yī)院發(fā)去了解密密鑰來解鎖數(shù)據(jù)。截至本周一,該醫(yī)院表示其關鍵系統(tǒng)已經(jīng)恢復正常運行,服務也已經(jīng)恢復如常。
此次事件看起來并不關乎數(shù)據(jù)掠奪,因為該醫(yī)院聲稱病人的數(shù)字記錄并沒有在此次攻擊中丟失,只是受到勒索軟件影響無法訪問而已。該醫(yī)院發(fā)言人表示,“醫(yī)院的生命維持和支持系統(tǒng)均沒有受到此次攻擊影響,因此患者的安全從未受到過威脅。”
“我們必須盡快恢復系統(tǒng)運作來應對流感”并不是掩飾磁盤驅(qū)動器故障的借口。醫(yī)院的IT部門確實生成了備份數(shù)據(jù),但是這些備份數(shù)據(jù)并不能立即投入使用。
保持敏感數(shù)據(jù)離線存儲以免遭受勒索軟件攻擊是一回事,但是把這些備份保存在一個遙不可及的地方,使其無法在危機時刻立即投入使用又是另外一回事了。
此次事件再次告誡我們,在規(guī)劃災難恢復時,一定要認真考慮恢復時間以及備份硬件的配置。
備受勒索軟件青睞的醫(yī)療系統(tǒng)
2016年2月,美國舊金山好萊塢長老會醫(yī)療中心遭受勒索軟件攻擊,該醫(yī)院最終選擇支付攻擊者近17000美元贖金。
2016年2月,德國兩家醫(yī)院——諾伊斯市的盧卡斯醫(yī)院、北萊茵-威斯特法倫州的Klinikum Arnsberg醫(yī)院受到勒索軟件攻擊,最終兩家醫(yī)院都沒有支付贖金,而是使用備份數(shù)據(jù)恢復了運行。
2016年3月,Methodist醫(yī)院遭受勒索軟件攻擊,在接下來五天都處于“緊急狀態(tài)”,但是隨后他們報告稱解決了該問題,并沒有支付任何贖金。
2016年3月底,加州兩家醫(yī)院——Chino Valley醫(yī)療中心和Desert Valley醫(yī)院被勒索,最終這兩家醫(yī)院都沒有支付贖金,并且沒有病人數(shù)據(jù)被泄露。
2016年4月,MedStar Health連鎖醫(yī)院遭遇Samsam勒索軟件(或稱Samas)攻擊。
2017年5月,英國國家醫(yī)療服務體系(NHS)的至少16家醫(yī)院和相關機構遭到WanaCrypt0r 2.0勒索軟件的攻擊,黑客索要每家醫(yī)院300比特幣(接近400萬人民幣)的贖金,否則將刪除所有資料。
根據(jù)Intel Security的調(diào)查顯示,自2016年起,醫(yī)院已經(jīng)成為勒索軟件的“重災區(qū)”。研究團隊認為,越來越多的網(wǎng)絡犯罪分子將攻擊目標指向醫(yī)院,原因是:此類機構仍采用舊式 IT 系統(tǒng),而醫(yī)療器材亦存在漏洞或未采取安全措施,同時多間機構共用相同的第三方服務,以及醫(yī)院需要即時查閱患者資料以便提供最佳的醫(yī)護服務。
如今,勒索軟件網(wǎng)絡規(guī)模的擴張以及針對醫(yī)院發(fā)動的攻擊都在警醒我們,網(wǎng)絡犯罪分子已經(jīng)具有開發(fā)新行業(yè)領域的能力和動機,醫(yī)療行業(yè)還需加強自身安全建設,做好備份工作,最大限度降低攻擊帶來的損害。