美联邦调查局(FBI)、网络与基础设施安全局(CISA)和财政部(DoT)近日警告称,有朝方背景的黑客组织,正在利用勒索软件向美国各地的医疗保健机构和公共卫生部门发起攻击。在周三发布的联合公告中,美政府机构指出,其发现相关黑客活动至少可追溯至 2021 年 5 月开始部署的 Maui 勒索软件。
截图(来自:CISA 网站)
据悉,受害医疗保健机构的服务器资料会被加密,并波及电子健康记录、医学成像和整个内网。
该咨询报告写道:
联邦调查局评估发现有朝方背景的网络攻击者,针对医疗保健机构和公共卫生部门部署了 Maui 勒索软件。
推测黑客认为医疗保健组织愿意支付赎金,毕竟这些组织提供了对人类生命和健康至关重要的服务。基于这一假设,FBI、CIA 和财政部评估有朝方背景的黑客,可能会继续发起针对相关医疗保健组织机构的攻击。
公告还指出,在 FBI 观察到并介入相应的诸多事件中,在毛伊岛爆发的勒索软件攻击对当地医疗保健服务造成了长期的中断困扰。
2022 年 4 月上旬,威胁搜寻初创企业 Stairwell 率先曝光了此事,并努力帮助组织机构确定其是否已被入侵。
分析期间,Stairwell 首席逆向工程师 Silas Cutler 指出 —— 这里缺乏许多常见于勒索软件即服务(RaaS)提供商的工具功能。
这种反常的现象,最终让他们推断 Maui 很可能是在受害者网络中手动部署、然后远程操作者针对其想要的特定文件进行了加密。
此前很长一段时间,我们已经多次听到过类似的报道。Mandiant Intelligence 副总裁 John Hultquist 亦在一封电子邮件中表示,这种情况对他们来说可谓是轻车熟路。
自 COVID-19 大流行以来,针对医疗保健行业的勒索软件攻击也呈现出了一个有趣的发展。
恶意行为者最初可能将网络间谍活动作为一个突破口,但近期有留意到攻击者的重点目标已转向其它传统的外交和军事组织。
不过从业务中断产生的后果来看,医疗保健组织依然非常容易受到此类勒索的影响。
最后,这份 CISA 联合公告提到了相关攻击指标(IOC)、技术策略和程序(TTP)等信息,以帮助相关组织机构有效落实网络安全防护政策。
比如限制对数据的访问、关闭网络设备管理接口,并通过监控工具观察物联网设备是否有被入侵等。
