10月26日,周一,KrebsOnSecurity开始跟进来自可靠消息来源的线报,该线报称,一个以部署勒索软件而闻名的咄咄逼人的俄罗斯网络犯罪团伙正准备扰乱全美数百家医院、诊所和医疗设施的信息技术系统。今天,美国联邦调查局(FBI)和美国国土安全部(U.S.Department of Homeland Security)的官员匆忙召集医疗行业高管召开电话会议,警告“美国医院和医疗服务提供者面临迫在眉睫的网络犯罪威胁”。
包括美国卫生与公众服务部(HHS)在内的电话会议上的机构警告与会者要注意“可信的信息,即网络犯罪对美国医院和医疗保健提供者的威胁日益增加和迫在眉睫。”
这些机构表示,他们共享这些信息“是为了向医疗保健提供者提供警告,以确保他们采取及时和合理的预防措施,保护自己的网络免受这些威胁。”
这一警告是在作者收到密尔沃基网络情报公司Hold Security创始人亚历克斯·霍尔登(Alex Holden)的提示后不到24小时发出的。霍尔登说,他本周看到了隶属于一个名为Ryuk的俄语勒索软件组织的网络罪犯之间的在线通信,该组织成员讨论了在美国400多家医疗机构部署勒索软件的计划。
今天政府电话会议的一位与会者表示,这些机构几乎没有提供医疗机构如何更好地保护自己免受这种威胁参与者或所谓的恶意软件活动的具体细节。
一位参加讨论的医疗行业资深人士表示:“他们没有分享任何IOC[妥协指标],所以只是‘给你的系统打补丁,报告任何可疑的东西’。”
然而,电话会议上的其他人表示,IOC可能对已经被Ryuk渗透的医院帮助不大。这是因为Ryuk团伙使用的恶意软件基础设施通常对每个受害者都是独一无二的,包括从被感染主机上丢弃的Microsoft Windows可执行文件到用于在受损系统之间传输数据的所谓“命令和控制”服务器的所有内容。
尽管如此,网络安全事件响应公司Mandiant今天公布了Ryuk在2020年至今的历次攻击中使用的域名和互联网地址列表。Mandiant指的是该组织的威胁行为人分类“UNC1878”,并于今天播出了一个网络广播,详细介绍了Ryuk的一些最新剥削策略。
曼迪昂特高级副总裁查尔斯·卡马卡尔(Charles Carmakal)告诉路透社,U.1878是他在职业生涯中观察到的最厚颜无耻、最无情和最具破坏性的威胁参与者之一。
Carmakal说:“多家医院已经受到Ryuk勒索软件的严重影响,他们的网络已经离线。”
一名参加了今天电话会议的医疗行业资深人士表示,如果这里真的有数百家医疗设施面临迫在眉睫的风险,这似乎超出了任何一家医院集团的范围,可能会牵涉到某种整合了许多医疗设施的电子健康记录提供商。这名资深人士接受了KrebsOnSecurity的采访,要求匿名。
然而,到目前为止,还没有像数百家设施那样公开报告勒索软件事件。但在过去的几天里,已经有几家医院处理了勒索软件攻击。
-Becker‘s Hospital Review今天报道,俄勒冈州克拉马斯瀑布(Klamath Falls)的天空湖医疗中心(Sky Lake Medical Center)的计算机系统遭到勒索软件攻击。
-WWNY在纽约的第七频道新闻昨天报道,对圣劳伦斯医疗系统的Ryuk勒索软件攻击导致卡顿-波茨坦、梅塞纳和古弗内尔医院的计算机感染。
-SWNewsMedia.com周一报道了“不明网络活动”,这些活动导致明尼苏达州瓦科尼亚Ridgeview医疗中心的某些业务中断。SWNews说,Ridgeview的系统包括查斯卡的两个十二医疗中心、三家医院、诊所和大都市区周围的其他紧急和长期护理地点。
更新时间:晚上10:11。美国东部时间:联邦调查局、国土安全部和卫生和公众服务部刚刚联合发布了关于这一问题的警报,可以在这里获得。