美聯邦調查局(FBI)、網絡與基礎設施安全局(CISA)和財政部(DoT)近日警告稱,有朝方背景的黑客組織,正在利用勒索軟件向美國各地的醫療保健機構和公共衛生部門發起攻擊。在周三發布的聯合公告中,美政府機構指出,其發現相關黑客活動至少可追溯至 2021 年 5 月開始部署的 Maui 勒索軟件。
截圖(來自:CISA 網站)
據悉,受害醫療保健機構的服務器資料會被加密,並波及電子健康記錄、醫學成像和整個內網。
該諮詢報告寫道:
聯邦調查局評估發現有朝方背景的網絡攻擊者,針對醫療保健機構和公共衛生部門部署了 Maui 勒索軟件。
推測黑客認為醫療保健組織願意支付贖金,畢竟這些組織提供了對人類生命和健康至關重要的服務。基於這一假設,FBI、CIA 和財政部評估有朝方背景的黑客,可能會繼續發起針對相關醫療保健組織機構的攻擊。
公告還指出,在 FBI 觀察到並介入相應的諸多事件中,在毛伊島爆發的勒索軟件攻擊對當地醫療保健服務造成了長期的中斷困擾。
2022 年 4 月上旬,威脅搜尋初創企業 Stairwell 率先曝光了此事,並努力幫助組織機構確定其是否已被入侵。
分析期間,Stairwell 首席逆向工程師 Silas Cutler 指出 —— 這裡缺乏許多常見於勒索軟件即服務(RaaS)提供商的工具功能。
這種反常的現象,最終讓他們推斷 Maui 很可能是在受害者網絡中手動部署、然後遠程操作者針對其想要的特定文件進行了加密。
此前很長一段時間,我們已經多次聽到過類似的報道。Mandiant Intelligence 副總裁 John Hultquist 亦在一封電子郵件中表示,這種情況對他們來說可謂是輕車熟路。
自 COVID-19 大流行以來,針對醫療保健行業的勒索軟件攻擊也呈現出了一個有趣的發展。
惡意行為者最初可能將網絡間諜活動作為一個突破口,但近期有留意到攻擊者的重點目標已轉向其它傳統的外交和軍事組織。
不過從業務中斷產生的後果來看,醫療保健組織依然非常容易受到此類勒索的影響。
最後,這份 CISA 聯合公告提到了相關攻擊指標(IOC)、技術策略和程序(TTP)等信息,以幫助相關組織機構有效落實網絡安全防護政策。
比如限制對數據的訪問、關閉網絡設備管理接口,並通過監控工具觀察物聯網設備是否有被入侵等。