根據(jù)路透社在2020年10月28日的最新報(bào)道,美國(guó)美國(guó)聯(lián)邦調(diào)查局(FBI)正在調(diào)查近期針對(duì)美國(guó)醫(yī)療衛(wèi)生保健機(jī)構(gòu)的勒索軟件攻擊事件。
根據(jù)三名熟悉此事的網(wǎng)絡(luò)安全顧問(wèn)所透露的信息,此次事件是由一個(gè)組織嚴(yán)密的東歐網(wǎng)絡(luò)犯罪集團(tuán)發(fā)動(dòng)的,并且針對(duì)全美地區(qū)超過(guò)二十家醫(yī)療衛(wèi)生保健機(jī)構(gòu)發(fā)動(dòng)了勒索軟件攻擊。而且就在這周,這群網(wǎng)絡(luò)犯罪分子又對(duì)俄勒岡州、加利福尼亞州和紐約發(fā)動(dòng)了新一波的勒索軟件攻擊。
網(wǎng)絡(luò)安全專家將這個(gè)組織標(biāo)記為了UNC-1878,而這個(gè)網(wǎng)絡(luò)犯罪組織在安全行業(yè)中也以大規(guī)模勒索軟件活動(dòng)而聞名。當(dāng)然,這個(gè)網(wǎng)絡(luò)犯罪組織近期的各種攻擊行為也引起了聯(lián)邦執(zhí)法機(jī)構(gòu)和其他網(wǎng)絡(luò)安全組織及研究人員的注意。研究人員認(rèn)為,這種類型的攻擊活動(dòng)將會(huì)嚴(yán)重影響醫(yī)療衛(wèi)生保健機(jī)構(gòu)的正常運(yùn)轉(zhuǎn),有的時(shí)候甚至還會(huì)讓病患出現(xiàn)生命危險(xiǎn)。
目前,美國(guó)美國(guó)聯(lián)邦調(diào)查局(FBI)還沒(méi)有立即回應(yīng)各大社交媒體的置評(píng)請(qǐng)求。
美國(guó)網(wǎng)絡(luò)安全公司Recorded Future的威脅情報(bào)分析師艾倫?利斯卡(Allan Liska)在接受媒體采訪時(shí)表示:“這個(gè)網(wǎng)絡(luò)犯罪組織此次所發(fā)動(dòng)的大規(guī)模勒索軟件攻擊似乎是旨在專門(mén)破壞全國(guó)各地的醫(yī)療衛(wèi)生保健機(jī)構(gòu),而且這貌似還是一種協(xié)同攻擊,即同時(shí)由多方發(fā)起的針對(duì)多家醫(yī)療衛(wèi)生保健機(jī)構(gòu)的攻擊。雖然我們每個(gè)禮拜幾乎都會(huì)看到針對(duì)醫(yī)療保健機(jī)構(gòu)的勒索軟件攻擊,這也是一種很常見(jiàn)的普遍現(xiàn)象,但是這一次是我們第一次”看到同一款勒索軟件在同一天攻擊了六家醫(yī)療衛(wèi)生保健機(jī)構(gòu)!”
針對(duì)醫(yī)療機(jī)構(gòu)的勒索軟件攻擊將會(huì)破壞機(jī)構(gòu)存儲(chǔ)病患數(shù)據(jù)的數(shù)據(jù)庫(kù),這些數(shù)據(jù)庫(kù)存儲(chǔ)的都是最新的醫(yī)療信息,一旦受到勒索軟件的攻擊,將會(huì)嚴(yán)重影響醫(yī)療機(jī)構(gòu)為病患提供醫(yī)療保健服務(wù)的能力。
網(wǎng)絡(luò)安全研究人員還表示,這個(gè)網(wǎng)絡(luò)犯罪組織使用的是一種名叫“Ryuk”的勒索軟件,目標(biāo)用戶的計(jì)算機(jī)設(shè)備一旦感染了這款勒索軟件,那么他們的計(jì)算機(jī)將會(huì)被鎖定,直到他們乖乖交付贖金為止。
Ryuk勒索名稱來(lái)源于死亡筆記中的死神,有文章表示將Ryuk勒索軟件歸因于朝鮮Lazarus,而事實(shí)上并不是,只是代碼相似罷了。目前已經(jīng)確認(rèn)的是,這類Ryuk勒索事件實(shí)為黑客組織GRIM SPIDER所為,攻擊活動(dòng)名命名為T(mén)EMP.MixMaster,而攻擊者目前來(lái)看是俄羅斯的可能性較大。研究人員分析發(fā)現(xiàn),不管從攻擊的本質(zhì)還是從惡意軟件內(nèi)部的工作流程來(lái)看,Ryuk與HERMES勒索軟件都有一定的相關(guān)性,并與Lazarus組織聯(lián)系在了一起。
一般勒索軟件都是通過(guò)大規(guī)模垃圾郵件活動(dòng)和漏洞利用工具進(jìn)行傳播,而Ryuk更傾向于一種定制化的攻擊。事實(shí)上,其加密機(jī)制也主要是用于小規(guī)模的行動(dòng)的,比如只加密受感染網(wǎng)絡(luò)中的重要資產(chǎn)和資源。
一位政府官員透露,攻擊者使用Ryuk和另一種名為T(mén)rickbot的木馬來(lái)對(duì)付醫(yī)院。
“UNC1878是我在職業(yè)生涯中觀察到的最無(wú)恥、最無(wú)情、最具有破壞性的威脅行為者之一,”美國(guó)網(wǎng)絡(luò)事件響應(yīng)公司Mandiant高級(jí)副總裁Charles Carmakal說(shuō)?!岸嗉裔t(yī)院已經(jīng)受到Ryuk勒索軟件的重大影響,他們的網(wǎng)絡(luò)已經(jīng)被關(guān)閉。”
專家表示,在本月早些時(shí)候微軟努力破壞黑客網(wǎng)絡(luò)之后,Trickbot的部署意義重大。
網(wǎng)絡(luò)犯罪分析師Stefan Tanase表示,這一舉措旨在削弱網(wǎng)絡(luò)犯罪分子的能力,但他們似乎已經(jīng)迅速恢復(fù)?!拔覀?cè)谶@里看到的是確認(rèn)Trickbot被擊垮的報(bào)道被大大夸大了?!?span style="font-size: 12px;">(安全客)