与其他关键信息基础设施行业不同,医疗卫生系统更关系到人们的生命安全。医疗行业的特殊性质也使得它们成为攻击者关注的重点,黑产团队将成千上万病人病例、药方、学术报告等重要医疗卫生资料通过恶意计算机病毒加密成一个不可查看文件,并以此勒索医院,交赎金还原文件,以此获得丰厚的回报。常见的攻击方式有勒索病毒、APT攻击、漏洞利用等。今天小编根据近期典型的针对医疗卫生行业的勒索攻击案例,为大家介绍几种对医疗行业常见的攻击手段,提供给医疗卫生从业者和公众参考,引起警惕从而采取必要的措施避免威胁的影响。
1.针对CT机的攻击
某市中心医院的一台CT机,不定时的发生蓝屏重启现象,在对流量进行还原过程中,发现攻击者对该CT机网段进行了流量嗅探和分析。通过研判,发现多个主机针对该CT机的445端口进行访问,并建立IPC连接,其被攻击者使用“永恒之蓝”MS17-010高危漏洞发起攻击,且此前主机存在数个病毒文件,如勒索软件、木马等。运维人员已对该CT机进行备份处置。
2.入侵客服服务器
某大学某医院遭受未知勒索软件攻击,根据对内网已知中勒索的服务器进行日志分析,最终定位到源头机器为客服服务器,并且该机器上存在攻击者上传的Mimikatz及抓密码的记录,在所有中招机器中发现被加密文件后缀格式为:*. -XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX,并留有勒索文本至服务器内,勒索软件名为Attention。
3.弱口令登陆外网服务器
某医院遭受GandCrab攻击,经过排查分析发现源头为对外开放的服务器,被黑客通过该服务器弱口令远程登录,并获取到192.168网段服务器的远程登录权限,随后利用该服务器对内网服务器进行IPC暴力破解,在将大量设备的权限获取完毕后,投放勒索病毒。
4.勒索Linux服务器
某医药公司感染Satan勒索病毒,通过对系统文件、进程及日志等分析,发现其Linux服务器被攻击者通过PUT方式上传了satan.jsp文件,使用的为Apache Tomcat 远程代码执行漏洞(CVE-2017-12615)。对被加密的文件进行排查,被加密文件后缀为.satan_pro,且加密释放的特征文件为.conn、.crypt和.Ssession,确定为Linux版本的Santan勒索病毒变种Lucky。
5.加密域控主机
某药业公司,内网出现大量勒索病毒有横向传播的迹象,域控已被加密。排查后发现终端被植入勒索病毒加密后缀为:.Rabbit4444,通过查找在 C:\User\xxxx\AppData\Local 下发现加密模块程序:Rabbit4444.exe ,确认是 Globelmposter 勒索病毒。
6.密码爆破入侵外网主机3389端口
某医学检验公司遭受Globelmposter勒索软件攻击,攻击者首先通过爆破外网xxxx:3389远程登陆成功后(即成功登录10.x.x.x内网地址),利用其地址作为跳板机,对其内网地址进行大量的IPC爆破,爆破成功后,通过登录RDP进行投毒,投毒后将其样本清除,并继续爆破下一台主机或虚拟机。此外多个卫生院,卫健局/委,以及多个医院,均被使用上述模式入侵成功,同样被投放一样的勒索软件。
除此之外,通过OA服务器入侵、通过VPN帐号弱口令爆破入侵(某卫生健康委员会,多台业务服务器被Crysis勒索软件加密)、定向攻击也常见的勒索手段。鉴于许多医疗卫生行业的网络安全防护措施并未健全,人员的安全意识的有待加强,因此在被定向攻击的时候,往往造成不可挽回的损失。
由于医院的自身特点,医院、药业、医疗器械公司等为了满足医疗数据长期存储要求、预防数据病毒等,需要建立统一、安全、可靠的存储空间,实现医疗数据的长期、低成本、集中存储。北京金万维公司的云备份,通过完善的数据备份系统有效提高信息系统的整体安全,针对医疗行业数据,提供个性化的备份方案,不惧勒索攻击,有效杜绝因数据丢失而导致的业务中断或经济损失等。
云备份通过集中管理、集中备份等措施,提高数据的安全性,降低存储成本实现数据云端存储;
3+1模式的有效数据,实现更长的历史存储,为用户发现问题、解决问题提供更长的时间同期和恢复时间;
对数据备份/恢复/下载/检测,全过程所有结果通过微信进行提醒,无打扰更方便;
“云+端”的模式实现数据备份/恢复的WEB化管理,无需专业人员,四步操作即可完成备份/恢复;
专业的智能客服平台“帮我吧”为云备份提供了可靠的多渠道响应与服务平台,可以安全有效的将数据备份为医疗单位信息化保驾护航。
9724
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
