又有两所医疗机构遭到勒索软件攻击

发布时间:2016-03-31 17:06 作者:AuRora17 来源:360安全播报点击:加载中...次

医院和医疗服务机构最近频繁地被加密勒索攻击。虽然在过去的几个月里攻击并没有造成太大的损失，但那也是迄今为止他们受到的巨大损害。而且医院遭到恶意软件的勒索会远比大多数其它机构受到攻击造成更为可怕的影响。

经历了过去一周的攻击事件，多家美国医院承认，他们已经被迫进行脱机系统响应加密勒索软件的侵扰。而在周三，思科塔洛斯研究所(Cisco Talos Research)的安全研究人员发现这些新型的加密勒索软件，似乎主要将目标锁定为一些医疗行业的脆弱的服务器。

最新的攻击在周一发生，哥伦比亚和马里兰州的MedStar Health报告了恶意软件已在其位于巴尔的摩的医院造成了一些系统的关机。

　　解决问题

在Facebook上，MedStar的一位发言人称：“MedStar Health的IT系统感染了一种病毒会阻止特定用户的登录。MedStar的各个部门已经迅速采取行动，关闭所有系统接口以防止病毒扩散。我们正在与IT和网络安全合作方做充分评估和相关处理工作。”

我们联系MedStar对此事发表评论，但MedStar的发言人拒绝进一步提供信息，他们承诺在周二下午发表声明，却没有提供任何新信息。有一些知晓MedStar Union Memorial医院情况的个想要参与证实勒索事件，但是他们不能透露任何情况，因为MedStar没有授权他们发表评论。

这个三月对于医院IT部门来说是很糟糕的一个月。上周，位于肯塔基州Henderson的Methodist 医院的工作人员支付了17，000美元的赎金来恢复医院的系统，有消息说医院其实支付了更多。在加州，由Prime Healthcare Management公司经营的两家医院被迫关闭了系统。这次Prime勒索攻击也造成了其他几家医院和附属医疗服务机构因为共享系统脱机而中断服务。

Prime勒索攻击首次发现于3月18日，熟悉Prime的 IT 系统的人员告诉我们似乎涉及的勒索软件是Locky，这是二月同一恶意软件对Hollywood Presbyterian的又一次攻击。Prime目前还能够允许公司的一些外部服务访问系统，而且 IP电话系统可以离线使用。

Prime的发言人弗雷德·奥尔特加告诉我们，在加州的Chino Valley医疗中心和维克多维尔的Desert Valley医院的勒索软件攻击被“立即解决并遏制了”。他证实Prime的IT人员对恶意软件所采取的行动也造成了其他医院的混乱。

奥尔特加在电子邮件中对我们说：“我们公司没有支付任何赎金，我们的专家，内部的IT团队能够立即设计方案并执行以遏制攻击并且减轻破坏。在医院，我们确保在不会影响病人安全的情况下运作系统，实时的防止病人或员工的数据泄露。而现在(星期四，三月24日)大多数系统已经联机了。“

　　新型攻击

针对Methodist医院和Prime医疗保健中心的勒索攻击是通过“网络钓鱼”电子邮件实施的。但据思科塔洛斯研究所，一些医疗服务机构已经因为服务器近期运行JBoss Web 感染了病毒。

“这的确是我们第一次见到勒索软件通过网络漏洞传播，”塔洛斯研究的克雷格·威廉姆斯告诉我们，“这就是我们看到这一切JBoss警报如雨后春笋般冒出来的原因所在，这引起了我们的注意。”

该恶意软件被思科塔洛斯研究所称为“Samsam”，它使用很早就公开的JexBoss漏洞，一个开源的JBoss漏洞测试工具。一旦恶意软件感染到服务器上，它会在同一网络上传播到其他Windows机器上。 “如果这个恶意软件正朝着WordPress和其他内容管理系统扩展，我是不会感到惊讶的，”威廉姆斯说，“这真的只是勒索的必然进程。”

威廉姆斯说，他们重点追踪了一些医疗机构。这类攻击可能不是因为攻击者专门针对医疗领域，而是由于由医院和医疗保健网络中存在太多可被利用的漏洞，勒索软件开发者只需扫描Internet上服务器的漏洞，就能发现大部分都在医疗机构网站上。

“很多的医疗行业的从业人员只是为了顺应趋势而建立网站，”威尔逊解释说，“他们雇用IT人员，他们设计计费系统并把它挂到网站，然后他们再也不去维护它了。这就为这种类型的恶意软件的蓬勃发展创造了完美的环境，因为没有人维护并修复系统。他们没有充分安排专职管理员来维护。其结果则是，系统从未打过补丁。“

亚历克斯·赖斯，漏洞提交平台HackerOne的首席技术官，同时也是HackerOne的创始人之一，他对我们说，这个特殊的问题不只存在于所有医疗服务机构中。 “现实情况是，几乎每一个公司，都在某种程度上要过渡成为一家IT公司，也就是每一个行业都要使用更多的网络信息技术，但是它们真的没有准备好，没有能力应对它们所面临的网络挑战，”赖斯解释，“只是在医疗保健领域面临的风险更高，因为医院系统中断造成的结果可能是生命的死亡。” 赖斯表示，问题之一就是医疗机构和医疗设备制造商不执行渗透测试，也没有对系统的其他常规风险评估。

一些医疗保健公司已经与HackerOne建立了专属的漏洞提交项目，赖斯指出，这能够帮助他们与值得信赖的安全研究人员合作，发现他们软件中的问题。而新的FDA指导原则是推动医疗设备制造商修补长期被忽视的软件。但是，这将需要医疗保健行业作为一个整体来处理勒索软件和其他安全威胁，不仅聚焦保护病人的数据，更要从根本防护攻击。

原文链接：http：//arstechnica.com/security/2016/03/two-more-healthcare-networks-caught-up-in-outbreak-of-hospital-ransomware/

(责任编辑：安博涛)