建议:“布拉森”俄罗斯勒索软件黑客以数百家美国医院为目标

2020-10-29 13:15:38

来自三个政府机构和私营部门的官员警告称,就在科罗娜病毒卷土重来、美国总统大选进入最后阶段之际,俄罗斯黑客正以数百家美国医院和医疗保健提供者为目标。

FBI、卫生与公众服务部(Health And Human Services)和网络安全与基础设施安全局(CyberSecurity&;Infrastructure Security Agency)联合发布的一份公告称,黑客通常会利用TrickBot感染的计算机网络渗透到这些组织中,并在进一步侵入他们的网络后部署Ryuk,这是一种特别具有攻击性的勒索软件。

周三晚间的公告称:“CISA、FBI和HHS掌握了可靠的信息,表明网络犯罪对美国医院和医疗保健提供者的威胁日益增加和迫在眉睫。”CISA、FBI和HHS正在共享此信息,以向医疗保健提供者提供警告,以确保他们采取及时和合理的预防措施来保护其网络免受这些威胁。

安全公司Mandiant在自己的通知中也说了大致相同的话,该通知提供了妥协的指标,目标组织可以使用这些指标来确定他们是否受到攻击。

Mandiant高级副总裁兼首席技术官Charles Carmakal在给记者的电子邮件中说,目标是“我们在美国见过的最严重的网络安全威胁”。他继续将计划背后的俄罗斯黑客组织描述为“我在职业生涯中观察到的最肆无忌惮、最无情和最具破坏性的威胁行为之一”。他说,在过去的几天里,已经有几家医院受到了攻击。

他在一次采访中说:“威胁行为人的意图是打击数以百计的其他组织。”“大多数威胁行为者都不想故意袭击医院组织。这是一条道德界限,他们选择不越过它。这位特殊的演员,他们没有越界的问题。他们正积极瞄准医疗保健和医院组织。“。

有报道称,在过去的几周里,少数几家医院受到了网络攻击。CNN说,它已经证实,“总部设在宾夕法尼亚州的医院医疗服务公司Universal Health Services、纽约的圣劳伦斯医疗系统公司和俄勒冈州的天空湖医疗中心在过去几天里都受到了感染。”

两周前,微软和许多行业合作伙伴采取了协调一致的行动来颠覆TrickBot。在第一波浪潮中,合作伙伴关闭了该组织已知使用的69台命令和控制服务器中的62台。当黑客做出回应,启动了59台新服务器时,合作伙伴们关闭了所有服务器,只剩下一台。这些打击让TrickBot运营商争先恐后地维持僵尸网络的生存。

微软表示,它在选举前采取行动,保护美国选举系统免受严重的勒索软件攻击。“纽约时报”(New York Times)报道称,这种干扰是双向的,因为它阻碍了研究人员过去用来追踪该组织的一些方法。

泰晤士报援引总部位于密尔沃基的Hold Security创始人亚历克斯·霍尔登(Alex Holden)的话说:“这里的挑战是,由于试图拆除TrickBot,TrickBot的基础设施发生了变化,我们没有了以前的遥测技术。”针对数百家医院的袭击表明,该组织正在使用新的战术。

由于公共和私营部门都警告关键基础设施在关键时刻面临严重威胁,医疗行业的人员最好检查日志,安装补丁,对员工进行网络钓鱼攻击方面的教育,并采取其他预防措施。上述美国政府和曼迪昂特的帖子也提供了一系列可行的建议。

如果你在#Healthcare,你不能忽视这一点。这不是演习。你正受到攻击。五家医院已经(在两天内)受到令人衰弱的勒索软件的攻击,这些勒索软件几乎使他们的业务无法运行…。Https://t.co/zqII57f6JU https://t.co/CKDsbHtnmX。

-千兆系统(@GigabitSys)2020年10月29日。

“如果你在#Healthcare,你不能忽视这一点,”安全公司Giga Systems在推特上写道。“这不是演习。你正受到攻击。“