截至目前，Hive勒索軟件已經(jīng)先后攻擊了至少28個(gè)組織，包括8月15日剛剛遇襲的連鎖醫(yī)療機(jī)構(gòu)Memorial Health System。

　　本月中旬，美國(guó)連鎖醫(yī)療機(jī)構(gòu)Memorial Health System遭勒索攻擊癱瘓，被迫繳納贖金。就在今天，F(xiàn)BI發(fā)布了針對(duì)Hive勒索軟件的警報(bào)。

　　Hive采取聯(lián)合運(yùn)營(yíng)模式，今年6月首次出現(xiàn)

　　警報(bào)稱，Hive是今年6月首次出現(xiàn)的聯(lián)合運(yùn)營(yíng)形式勒索軟件。Hive部署了“多種機(jī)制以入侵商業(yè)網(wǎng)絡(luò)，包括使用網(wǎng)絡(luò)釣魚郵件中的惡意附件奪取訪問權(quán)限，并配合遠(yuǎn)程桌面協(xié)議在網(wǎng)絡(luò)中橫向移動(dòng)”。

　　FBI解釋道，“在成功入侵受害者網(wǎng)絡(luò)后，Hive勒索軟件攻擊者會(huì)竊取數(shù)據(jù)并加密網(wǎng)絡(luò)上的文件。之后，攻擊者會(huì)在受害者系統(tǒng)中每個(gè)受影響的目錄內(nèi)留下一份勒索信息，其中包含如何購(gòu)買解密軟件的說明。這份信息還威脅要在Tor網(wǎng)站「HiveLeaks」上公開受害者的數(shù)據(jù)?！?/p>

　　“Hive勒索軟件會(huì)查找與備份、防病毒/反間諜軟件及文件復(fù)制相關(guān)的進(jìn)程，終止掉這些進(jìn)程以實(shí)現(xiàn)文件加密。該軟件加密的文件通常以。hive擴(kuò)展名結(jié)尾?！?/p>

　　警報(bào)還解釋了勒索軟件如何破壞掉目標(biāo)的系統(tǒng)與備份，再將受害者定向至只能通過Tor瀏覽器訪問的團(tuán)伙“銷售部門”的鏈接頁面。通過留下的鏈接，受害者可以與攻擊團(tuán)伙成員實(shí)時(shí)交流。FBI還指出，也有部分受害者接到了來自攻擊方的敲詐電話。

　　大多數(shù)受害者只有2到6天的付款期限，但也有部分受害者能夠通過談判延長(zhǎng)考慮時(shí)間。

　　該團(tuán)伙擁有自己的泄密網(wǎng)站，專門用于威脅受害者盡快就范。FBI在警報(bào)中也展示了入侵指標(biāo)、泄密站點(diǎn)鏈接以及發(fā)給受害者的勒索信息樣本。

　　Hive勒索軟件重點(diǎn)關(guān)注醫(yī)療健康領(lǐng)域

　　美國(guó)醫(yī)院協(xié)會(huì)網(wǎng)絡(luò)安全高級(jí)顧問John Riggi表示，新興出現(xiàn)的Hive勒索軟件已經(jīng)得到醫(yī)療機(jī)構(gòu)的高度關(guān)注。到目前為止，Hive已經(jīng)攻擊了至少28個(gè)組織，包括8月15日剛剛遭受襲擊的Memorial Health System。這家非營(yíng)利性組織在俄亥俄州與西弗吉尼亞州經(jīng)營(yíng)有多家醫(yī)院、診所及醫(yī)療保健站點(diǎn)。

　　Memorial Health System首席執(zhí)行官Scott Cantley在一份聲明中表示，目前瑪麗埃塔紀(jì)念醫(yī)院、塞爾比醫(yī)院和姐妹縣總醫(yī)院這三家醫(yī)院的員工暫時(shí)只能使用紙質(zhì)材料，IT團(tuán)隊(duì)正在努力恢復(fù)原有系統(tǒng)。

　　受攻擊事件影響，原定于8月16日星期一的所有緊急手術(shù)和放射學(xué)檢查也都被取消。此外，Memorial Health System急診部也被迫轉(zhuǎn)移，瑪麗埃塔紀(jì)念醫(yī)院暫時(shí)只能接收突發(fā)中風(fēng)和創(chuàng)傷的患者。

　　也就是說，其他病患只能被送往其他醫(yī)院。美國(guó)FBI、CISA（網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局）聯(lián)合網(wǎng)絡(luò)安全專家們已經(jīng)出手，共同幫助院方應(yīng)對(duì)攻擊。

　　在三天后發(fā)布的聲明中，Cantley表示醫(yī)院系統(tǒng)“已經(jīng)通過協(xié)商找到解決辦法，將盡快、盡可能安全地恢復(fù)運(yùn)營(yíng)流程。”

　　他后來還在接受《瑪麗埃塔時(shí)報(bào)》時(shí)坦言，醫(yī)院其實(shí)是支付了贖金來換取解密密鑰。

　　Cantley解釋道，“我們雙方達(dá)成一項(xiàng)協(xié)議，目前服務(wù)器的解密密鑰已經(jīng)收到，恢復(fù)工作開始正常處理。FBI懷疑對(duì)方可能是一個(gè)較新且技術(shù)水平很高的東歐黑客團(tuán)伙?！?/p>

　　“對(duì)我們的員工來說，能快速恢復(fù)運(yùn)營(yíng)流程肯定是個(gè)好消息。我們有800臺(tái)服務(wù)器和3000多臺(tái)個(gè)人設(shè)備，醫(yī)生需要依靠這些工具為患者服務(wù)。我們目前只能提供基礎(chǔ)服務(wù)，計(jì)劃從下周起恢復(fù)處理常規(guī)服務(wù)的能力。雖然困難重重，但我們?nèi)詴?huì)堅(jiān)持為患者提供精心照料?！?/p>

　　該醫(yī)院的系統(tǒng)已經(jīng)于周末恢復(fù)上線，Cantley提到，“沒有跡象表明有任何患者或者員工的數(shù)據(jù)遭到公開發(fā)布或披露?！?/p>

　　Cantley最后總結(jié)道，“不斷變化的網(wǎng)絡(luò)威脅格局正給醫(yī)療保健組織帶來嚴(yán)重影響，我們對(duì)此感到非常遺憾。”