医疗催债公司R1 RCM遭遇勒索软件攻击

R1 RCM Inc.。[纳斯达克股票代码：RCM]，美国最大的医疗收债公司之一受到勒索软件攻击。

总部位于芝加哥的R1 RCM前身为Accretive Health Inc.，2019年的收入为11.8亿美元。该公司拥有19,000多名员工，并与全国至少750个医疗机构签订了合同。

R1RCM承认，作为对勒索软件攻击的回应，它关闭了自己的系统，但在其他方面拒绝对这篇报道发表评论。

其名称的“RCM”部分指的是“收入周期管理”，这是一个跟踪每个患者整个生命周期的利润的行业，包括患者登记、保险和福利核实、医疗文档以及从患者那里准备和收取账单。

该公司可以获得数千万患者的大量个人、财务和医疗信息，包括姓名、出生日期、社保号码、账单信息和医疗诊断数据。

目前尚不清楚入侵者首次入侵R1网络的时间，但勒索软件是在一周多前发布的，大约在该公司即将发布2020年第二季度财务业绩的时候。

R1 RCM拒绝讨论它正在与哪种勒索软件作斗争，也不愿讨论它是如何受到危害的。接近调查的消息人士告诉KrebsOnSecurity，这种恶意软件被称为Defray。

Defray首次被发现是在2017年，其供应商有专门针对医疗保健领域公司的历史。根据趋势科技(Trend Micro)的说法，支出通常是通过电子邮件发送的诱杀Microsoft Office文档传播的。

趋势科技写道：“作者使用的钓鱼邮件都是精心制作的。”例如，在针对一家医院的攻击中，钓鱼电子邮件被伪装成来自医院IT经理的样子，并将恶意文件伪装成患者报告。

电子邮件安全公司Proofpoint表示，Defray勒索软件有些不同寻常，因为它通常部署在小规模的、有针对性的攻击中，而不是大规模的“喷洒和祈祷”电子邮件恶意软件活动中。

Proofpoint观察到：“看起来，这笔费用可能是为特定的威胁参与者个人使用的，这使得它更有可能继续以小型的、有针对性的攻击方式分发。”

Corvus Insurance最近的一份报告指出，近几个月来，针对医疗行业公司的勒索软件攻击有所放缓，一些恶意软件组织甚至怀疑地承诺，在新冠肺炎疫情期间，他们将不会以这些公司为目标。但Corvus表示，随着美国谨慎地走向重新开放，这一趋势可能会在2020年下半年逆转。

Corvus发现，虽然扫描和过滤传入电子邮件的恶意威胁的服务可以捕获许多勒索软件诱饵，但估计有75%的医疗保健公司不使用这项技术。