朝鲜黑客利用Maui攻击美国医疗组织长达一年之久
近年来,医疗系统遭遇网络攻击的事件时有发生,勒索软件攻击屡见不鲜。以2020年为例,医疗卫生行业遭受网络攻击数量同比增长5倍,占据全球APT活动事件的23.7%,医疗行业网络安全建设长期面临挑战。
上周四(7月7日),美国网络安全及基础设施安全局(CISA)、联邦调查局(FBI)与美国财政部于发布了联合网路安全通报(Joint Cybersecurity Advisory),警告自去年5月以来就发现由朝鲜政府支持的黑客集团,正锁定医疗保健与公卫(Healthcare and Public Health,HPH)组织发动Maui勒索软件攻击。
FBI表示,黑客集团利用Maui来加密HPH组织各项服务的伺服器,涵盖电子病历服务、诊断服务、影像服务,以及内部网路服务等,某些案例甚至让受到攻击的服务很久才复原。
网络安全公司Stairwell也在本周公布了Maui勒索软件的研究报告,表示这是个少见的勒索软件家族,缺乏一般勒索软件即服务(RaaS)所应具备的工具,例如在勒索信中嵌入复原指示,或是可自动将加密金钥传给骇客的工具等。相反的,研究人员相信骇客是手动执行Maui攻击,指定了攻击时所要加密的档案。
FBI认为,PHP组织之所以遭到Maui勒索软件黑客锁定,应是因为黑客认为这些提供攸关人们健康与生命服务的医疗照护组织更愿意支付赎金,而此一论点也让FBI、CISA及美国财政部相信它们将会继续针对该领域的组织进行攻击,因而提出警告。
此外,不管是FBI、CISA或财政部都强烈反对受害者支付赎金,认为就算支付赎金也无法保证就能回复档案与纪录,还有可能招来被制裁的风险。
美国财政部曾在去年9月公告,支付赎金将让犯罪份子及被制裁的对手获利,间接协助它们的非法目标,包括用来资助不利于美国国家安全或外交政策的活动,因此,这类的付款不仅鼓励了犯罪份子,也会激励他们继续进行攻击。财政部明确表达它们反对受害者支付赎金的立场,也说支付赎金亦可能让受害者面临被制裁的风险。
