《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 國家級衛(wèi)生網(wǎng)絡(luò)遭勒索攻擊癱瘓,美國監(jiān)管部門總結(jié)問題及教訓(xùn)

國家級衛(wèi)生網(wǎng)絡(luò)遭勒索攻擊癱瘓,美國監(jiān)管部門總結(jié)問題及教訓(xùn)

2022-03-20
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 勒索攻擊

  審查發(fā)現(xiàn),那次勒索攻擊之所以能對HSE的IT環(huán)境產(chǎn)生巨大的負(fù)面影響,主要是它自身缺乏應(yīng)對此類突發(fā)事件的準(zhǔn)備。

  美國衛(wèi)生與公眾服務(wù)部(HHS)日前發(fā)布一份威脅簡報,介紹了2021年愛爾蘭衛(wèi)生健康服務(wù)署(HSE)遭受Conti勒索軟件攻擊期間的嚴(yán)峻狀況和主要錯誤,并敦促各醫(yī)療保健機構(gòu)進(jìn)行審查是否存在同類問題。

  那次攻擊導(dǎo)致整個愛爾蘭的醫(yī)療保健服務(wù)體系嚴(yán)重癱瘓,成千上萬愛爾蘭民眾的COVID-19疫苗接種信息(包括大量應(yīng)受保護(hù)的個人健康信息)也被攻擊者從HSE網(wǎng)絡(luò)中盜出,總數(shù)據(jù)量約為700 GB。

  愛爾蘭衛(wèi)生健康服務(wù)署在2021年6月委托普華永道開展獨立事后審查,美國衛(wèi)生與公眾服務(wù)部的簡報正是根據(jù)此次審查的報告整理。審查發(fā)現(xiàn),那次攻擊之所以能對HSE的IT環(huán)境產(chǎn)生巨大的負(fù)面影響,主要是它自身缺乏應(yīng)對此類突發(fā)事件的準(zhǔn)備。

  內(nèi)部安全管理工作嚴(yán)重缺失

  美國衛(wèi)生與公眾服務(wù)部在簡報中提到,“在事發(fā)期間,HSE沒有負(fù)責(zé)網(wǎng)絡(luò)安全的負(fù)責(zé)人,無論是在高管或中層管理人員層面。HSE也沒有專門的委員會,來指導(dǎo)和監(jiān)督網(wǎng)絡(luò)安全工作,以及著手組織關(guān)于緩解HSE網(wǎng)絡(luò)風(fēng)險的具體舉措?!?/p>

  “HSE還缺少網(wǎng)絡(luò)安全討論會議,導(dǎo)致他們較難開展細(xì)粒度的網(wǎng)絡(luò)風(fēng)險討論與記錄,以及識別和提供緩解控制的能力。HSE根本不具備管理與控制網(wǎng)絡(luò)安全風(fēng)險所必需的集中網(wǎng)絡(luò)安全職能?!?/p>

  更重要的是,HSE還沒有部署任何安全監(jiān)控解決方案,來幫助調(diào)查與響應(yīng)在其IT環(huán)境中檢測到的安全威脅。

  以上種種原因,致使HSE對于Conti勒索軟件團(tuán)伙的惡意行為缺乏響應(yīng)。

  超八成IT環(huán)境遭加密,

  恢復(fù)成本超6億美元

  事實上這波攻勢可以說是明目張膽,早在2021年5月7日,部署在多臺HSE服務(wù)器上的Cobalt Strike beacon就已經(jīng)被端點反病毒解決方案檢測到,只是警報提醒一直沒有得到重視。

  美國衛(wèi)生與公眾服務(wù)部還提到,“HSE管理層報告稱,在此次攻擊當(dāng)中,有80%的IT基礎(chǔ)設(shè)施遭到勒索軟件加密?!?/p>

  “勒索軟件攻擊對通信造成了嚴(yán)重影響。因為HSE之前幾乎只使用本地郵件系統(tǒng)(包括Exchange),在遭到加密之后,通信完全無法使用?!?/p>

  HSE Conti勒索軟件事件時間表(普華永道/HSE)

  幸運的是,Conti勒索軟件團(tuán)伙為HSE提供了能夠恢復(fù)系統(tǒng)的免費解密器,但警告稱如果HSE不支付2000萬美元贖金,則會出售或公開發(fā)布這批被盜數(shù)據(jù)。

  Conti勒索軟件團(tuán)伙在交涉的聊天頁面中表示,“我們會免費提供網(wǎng)絡(luò)解密工具,但需要澄清一點,如果貴方未能與我們聯(lián)系并嘗試解決問題,我們將出售或公開發(fā)布大量私人數(shù)據(jù)?!?/p>

  愛爾蘭衛(wèi)生部當(dāng)時曾表示,“HSE確實獲得了加密密鑰,但需要首先對密鑰進(jìn)行安全評估調(diào)查,之后才能在HSE系統(tǒng)上實際使用。”

  HSE恢復(fù)工作持續(xù)了四個多月,耗資超過6億美元。其中有1.2億美元的專項恢復(fù)資金主要用于更換和升級所有被勒索軟件感染的系統(tǒng)。

  此次勒索軟件攻擊成為國家整體衛(wèi)生服務(wù)遭受網(wǎng)絡(luò)事件影響的首批案例,也是惡意攻擊者直接造成的中斷周期最長的事件之一。相比之下,2017年席卷全球的WannaCry攻擊也僅僅影響到部分英國國家衛(wèi)生服務(wù)部門。

  敏感數(shù)據(jù)外泄,

  曾被公開放出

  盡管此次攻擊事件導(dǎo)致愛爾蘭的醫(yī)療保健服務(wù)系統(tǒng)陷入大面積癱瘓,但愛爾蘭總理Taoiseach Micheál Martin表示,HSE絕不會支付任何贖金。

  就在攻擊之后,包含患者數(shù)據(jù)的被盜HSE文件樣本歸檔很快被上傳至VirusTotal惡意軟件掃描站點。

  愛爾蘭法院隨后向VirusTotal下令,要求其提供曾經(jīng)下載或上傳這批愛爾蘭國家醫(yī)療保健機密數(shù)據(jù)(涵蓋郵箱地址、電話號碼、IP地址或真實居住地址)的訂閱用戶信息。

  據(jù)外媒The Journal報道,截至2021年5月25日數(shù)據(jù)被刪除之前,這份HSE被盜數(shù)據(jù)歸檔在VirusTotal上的下載量為23次。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。