2021年爱尔兰卫生医疗系统勒索病毒事件

普华永道最近发布了从 2021年 5 月对爱尔兰公共卫生系统的破坏性和代价高昂的勒索软件攻击中吸取的教训。事后调查发现，从最初的入侵到勒索软件的启动，相隔了将近两个月。它还发现受影响的医院有数万个过时的Windows 7系统，而且卫生系统的 IT 管理员未能对大规模攻击迫在眉睫的多个警告信号做出反应。

负责运营该国公共卫生系统的爱尔兰卫生服务执行局(简称“HSE”)于2021年5月14日遭到了Conti 勒索软件的攻击。报告称，“零号工作站”的最初感染发生在 2021 年 3 月。而起因是2021年1月18日，一名员工在 Windows计算机上打开了两天前发送的网络钓鱼电子邮件中的诱杀Microsoft Excel文档。不到一周后，攻击者建立了与员工受感染工作站的可靠后门连接。报告称，在感染系统后，“攻击者在八周内继续在环境中运行，直到Conti 勒索软件于2021年5月14日引爆”。

调查报告显示，虽然当时安全系统有多个关于严重网络入侵的警告，但这些危险信号要么被错误识别，要么没有及时采取行动：

2021年3月31日，HSE 的防病毒软件检测到勒索软件组织常用的两种软件工具Cobalt Strike和Mimikatz在患者零工作站上执行。但是杀毒软件被设置为监控模式，所以它没有阻止恶意命令。”
5月7日，攻击者首次入侵了HSE的服务器，并在接下来的五天内入侵了六家HSE医院。5月10日，其中一家医院在其Microsoft Windows域控制器上检测到恶意活动，这是管理用户身份验证和网络访问的任何Windows企业网络的关键“钥匙”组件。
5月10日，安全审计员首先发现了攻击者入侵医院C和医院L内系统的证据。医院C的防病毒软件在两个系统上检测到Cobalt Strike，但未能隔离恶意文件。
5月13日，HSE的防病毒安全提供商通过电子邮件向 HSE 的安全运营团队发送了电子邮件，强调了至少16个系统上可追溯到5月7日的未处理威胁事件。HSE 安全运营团队要求服务器团队重新启动服务器。

但为时已晚，爱尔兰时间 5 月 14 日午夜刚过，攻击者在 HSE 中执行了 Conti 勒索软件。这次袭击中断了几家爱尔兰医院的服务，导致 HSE 的全国和地方网络几乎完全关闭，迫使许多门诊和医疗服务被取消。某些领域的任命数量下降了 80%。”Conti 最初要求价值 2000 万美元的虚拟货币以换取数字密钥来解锁被该组织破坏的 HSE 服务器。但也许是为了回应公众对 HSE 中断的强烈抗议，Conti 最终决定在不需要付款的情况下将解密密钥交给了 HSE。

尽管如此，恢复受感染系统的工作仍需要数月时间。HSE 最终招募了爱尔兰军队的成员带来笔记本电脑和个人电脑，以帮助手动恢复计算机系统。直到 2021 年 9 月 21 日，HSE 才宣布其 100% 的服务器已被解密。

报告发现，如果以下袭击发生，结果将会更加糟糕：

如果攻击者有意针对 HSE 环境中的特定设备（例如医疗设备）；
勒索软件是否采取行动大规模破坏数据；
勒索软件是否具有自动传播和持久性功能，例如通过使用漏洞利用跨域和信任边界传播到医疗设备（例如 WannaCry 和 NotPetya15 攻击使用的 EternalBlue 漏洞利用）；
如果云系统也被加密，例如 COVID-19 疫苗接种系统

2021 年 6 月，HSE 总干事表示，此次勒索软件攻击的恢复成本可能超过 6亿美元。报告最终提出含许多建议，其中大部分都围绕招聘新人员来领导组织加倍的安全工作。很明显，HSE在提高安全成熟度方面还有大量工作要做。例如，报告指出 HSE 的医院网络有超过 30,000 台 Windows 7 工作站被供应商视为已停产。

上海安当技术有限公司致力于开发身份认证、数据加密类产品，依托集中化、跨平台的密钥管理系统，专注于为金融、政府、企业等客户提供更加安全，便捷的身份认证管理和数据加密解决方案。公司主要产品及服务简称为4S：身份认证服务平台（Authentication Service Platform），密钥管理平台（Key Safe Platform），硬件加密机（Hardware Security Module)，数据加密集成服务（Data Security Integration）。

身份认证_数据加密_数据安全_加密机_密钥管理_数据加密集成服务_安当加密_安当技术有限公司上海安当技术有限公司致力于开发身份认证、数据加密类产品，依托集中化、跨平台的密钥管理系统，专注于为金融、政府、企业等客户提供更加安全，便捷的身份认证管理和数据加密解决方案。公司主要产品及服务简称为4S：身份认证服务平台，密钥管理平台，硬件加密机，数据加密集成服务https://andang.cn/

2021年爱尔兰卫生医疗系统勒索病毒事件相关推荐

深度｜医疗行业勒索病毒防治解决方案
方案概述我国发布的<国民经济和社会发展第十四个五年规划和2035年远景目标纲要>中指出把保障人民健康放在优先发展的战略位置,坚持预防为主的方针,深入实施健康中国行动,完善国民健康促进政策 ...
《2021勒索病毒大盘点》
2021年,新冠肺炎仍然在全球范围内肆虐,各行业除了应对疫情的持续冲击外,还面临着一种形态多样.高频化的"流行病"-- 勒索病毒.它们加密并窃取数据,甚至威胁破坏或泄漏数据,以此胁 ...
勒索病毒猖獗，医疗机构因此损失超920亿美元
Comparitech的最新研究报告指出,勒索软件攻击对医疗保健行业的影响,自2018年以来,医疗保健行业已经发生了500次公开确认的勒索软件攻击,攻击影响了近13,000个独立的医疗信息系统,攻击带 ...
加强防护，近期勒索病毒有点疯狂！
愈演愈烈的勒索病毒攻击 2021年5月7日,美国最大的成品油管道运营商在本月受到重大网络攻击.公司被迫一度关闭整个能源供应网络,极大影响美国东海岸燃油等能源供应.公司在当日缴纳了500万美元赎金. 紧 ...
虚拟化环境下，如何高效开展勒索病毒防护加固？
本文重点近些年,勒索病毒攻击事件频发,由于其"难发现.难阻止.难破解"的特点,不少用户--尤其是使用虚拟化的金融.医疗.制造.公共服务等重要行业用户--已遭受严重数据与经济损失. ...
勒索病毒引出重大话题：公有云比私有云更安全？
公有云比私有云更安全?这似乎与惯性思维恰恰相反-- 3天,150个国家,20余万台机器中毒,始于上周五的WannaCry索病毒真的让很多人急了. 美国联邦快递FedEx.西班牙电信运营商Telefon ...
2020上半年勒索病毒报告：勒索手段升级，不交赎金就公开数据
近日,腾讯安全正式对外发布<2020上半年勒索病毒报告>(以下简称"报告").<报告>显示,上半年全球大型企业遭受勒索病毒打击的事件依然高频发生.其中,最活 ...
盘点勒索病毒造成大事件
勒索病毒是什么? 勒索病毒,是一种新型电脑病毒,主要以邮件.程序木马.网页挂马的形式进行传播.该病毒性质恶劣.危害极大,一旦感染将给用户带来无法估量的损失.这种病毒利用各种加密算法对文件进行加密,被感 ...
从预防检测到响应，腾讯御界NDR“一站式”勒索病毒解决方案
一. 背景 2021年上半年,勒索病毒席卷美国,受害企业损失动辄数千万美元.2021年,美国最大燃油管道商(Colonial Pipeline).全球最大的肉制品生产商JBS.全球500强IT咨询公司 ...

2021年爱尔兰卫生医疗系统勒索病毒事件

2021年爱尔兰卫生医疗系统勒索病毒事件相关推荐

最新文章

热门文章