根据路透社在2020年10月28日的最新报道,美国美国联邦调查局(FBI)正在调查近期针对美国医疗卫生保健机构的勒索软件攻击事件。
根据三名熟悉此事的网络安全顾问所透露的信息,此次事件是由一个组织严密的东欧网络犯罪集团发动的,并且针对全美地区超过二十家医疗卫生保健机构发动了勒索软件攻击。而且就在这周,这群网络犯罪分子又对俄勒冈州、加利福尼亚州和纽约发动了新一波的勒索软件攻击。
网络安全专家将这个组织标记为了UNC-1878,而这个网络犯罪组织在安全行业中也以大规模勒索软件活动而闻名。当然,这个网络犯罪组织近期的各种攻击行为也引起了联邦执法机构和其他网络安全组织及研究人员的注意。研究人员认为,这种类型的攻击活动将会严重影响医疗卫生保健机构的正常运转,有的时候甚至还会让病患出现生命危险。
目前,美国美国联邦调查局(FBI)还没有立即回应各大社交媒体的置评请求。
美国网络安全公司Recorded Future的威胁情报分析师艾伦•利斯卡(Allan Liska)在接受媒体采访时表示:“这个网络犯罪组织此次所发动的大规模勒索软件攻击似乎是旨在专门破坏全国各地的医疗卫生保健机构,而且这貌似还是一种协同攻击,即同时由多方发起的针对多家医疗卫生保健机构的攻击。虽然我们每个礼拜几乎都会看到针对医疗保健机构的勒索软件攻击,这也是一种很常见的普遍现象,但是这一次是我们第一次”看到同一款勒索软件在同一天攻击了六家医疗卫生保健机构!”
针对医疗机构的勒索软件攻击将会破坏机构存储病患数据的数据库,这些数据库存储的都是最新的医疗信息,一旦受到勒索软件的攻击,将会严重影响医疗机构为病患提供医疗保健服务的能力。
网络安全研究人员还表示,这个网络犯罪组织使用的是一种名叫“Ryuk”的勒索软件,目标用户的计算机设备一旦感染了这款勒索软件,那么他们的计算机将会被锁定,直到他们乖乖交付赎金为止。
Ryuk勒索名称来源于死亡笔记中的死神,有文章表示将Ryuk勒索软件归因于朝鲜Lazarus,而事实上并不是,只是代码相似罢了。目前已经确认的是,这类Ryuk勒索事件实为黑客组织GRIM SPIDER所为,攻击活动名命名为TEMP.MixMaster,而攻击者目前来看是俄罗斯的可能性较大。研究人员分析发现,不管从攻击的本质还是从恶意软件内部的工作流程来看,Ryuk与HERMES勒索软件都有一定的相关性,并与Lazarus组织联系在了一起。
一般勒索软件都是通过大规模垃圾邮件活动和漏洞利用工具进行传播,而Ryuk更倾向于一种定制化的攻击。事实上,其加密机制也主要是用于小规模的行动的,比如只加密受感染网络中的重要资产和资源。
一位政府官员透露,攻击者使用Ryuk和另一种名为Trickbot的木马来对付医院。
“UNC1878是我在职业生涯中观察到的最无耻、最无情、最具有破坏性的威胁行为者之一,”美国网络事件响应公司Mandiant高级副总裁Charles Carmakal说。“多家医院已经受到Ryuk勒索软件的重大影响,他们的网络已经被关闭。”
专家表示,在本月早些时候微软努力破坏黑客网络之后,Trickbot的部署意义重大。
网络犯罪分析师Stefan Tanase表示,这一举措旨在削弱网络犯罪分子的能力,但他们似乎已经迅速恢复。“我们在这里看到的是确认Trickbot被击垮的报道被大大夸大了。”
发表评论
您还未登录,请先登录。
登录