信息來(lái)源:安全內(nèi)參
據(jù)知名博主�����、前《華盛頓郵報(bào)》記者布萊恩·克雷布斯撰文稱�����,知名咨詢公司普華永道最近發(fā)布了從2021年5月對(duì)愛(ài)爾蘭公共衛(wèi)生系統(tǒng)勒索軟件“報(bào)告”�����,通過(guò)異常坦率的事后調(diào)查發(fā)現(xiàn)�����,從最初的入侵到勒索軟件的啟動(dòng)�����,相隔了將近兩個(gè)月�����?����!皥?bào)告”還發(fā)現(xiàn)受影響的醫(yī)院有數(shù)萬(wàn)個(gè)過(guò)時(shí)的Windows 7系統(tǒng)�����,而且衛(wèi)生系統(tǒng)的 IT 管理員未能對(duì)大規(guī)模攻擊迫在眉睫的多個(gè)警告信號(hào)做出反應(yīng)�����。
上圖為勒索軟件時(shí)間線�����。
負(fù)責(zé)運(yùn)營(yíng)該國(guó)公共衛(wèi)生系統(tǒng)的愛(ài)爾蘭衛(wèi)生服務(wù)執(zhí)行局(HSE)于2021年5月14日遭到了Conti 勒索軟件的攻擊�����。報(bào)告中的時(shí)間線(上圖)稱�����,“零號(hào)病人”工作站的最初感染發(fā)生在2021 年3月�����。2021年1月18日�����,一名員工在Windows計(jì)算機(jī)上打開(kāi)了兩天前發(fā)送的網(wǎng)絡(luò)釣魚(yú)電子郵件中的Microsoft Excel文檔�����。
不到一周后�����,攻擊者建立了與員工受感染工作站的可靠后門連接�����。報(bào)告稱�����,在感染系統(tǒng)后�����,“攻擊者在八周內(nèi)繼續(xù)在環(huán)境中運(yùn)行,直到Conti勒索軟件于2021年5月14日引爆”�����。
根據(jù)報(bào)告披露�����,有多個(gè)關(guān)于嚴(yán)重網(wǎng)絡(luò)入侵的警告�����,但這些危險(xiǎn)信號(hào)要么被錯(cuò)誤識(shí)別�����,要么沒(méi)有及時(shí)采取行動(dòng):
2021年3月31日�����,HSE的防病毒軟件檢測(cè)到勒索軟件組織常用的兩種軟件工具Cobalt Strike和Mimikatz在患者零工作站上執(zhí)行�����。但是殺毒軟件被設(shè)置為監(jiān)控模式�����,所以它沒(méi)有阻止惡意命令�����。
5月7日�����,攻擊者第一次入侵了HSE的服務(wù)器�����,在接下來(lái)的五天內(nèi)�����,入侵者入侵了6家HSE 醫(yī)院�����。
5月10日�����,其中一家醫(yī)院在其Microsoft Windows域控制器上檢測(cè)到惡意活動(dòng),這是管理用戶身份驗(yàn)證和網(wǎng)絡(luò)訪問(wèn)的任何Windows企業(yè)網(wǎng)絡(luò)的關(guān)鍵組件�����。
2021年5月10日�����,安全審計(jì)員首先發(fā)現(xiàn)了攻擊者入侵醫(yī)院C和醫(yī)院L內(nèi)系統(tǒng)的證據(jù)�����。醫(yī)院C的防病毒軟件在兩個(gè)系統(tǒng)上檢測(cè)到Cobalt Strike�����,但未能隔離惡意文件�����。
5月13日�����,HSE的防病毒安全提供商通過(guò)電子郵件向HSE的安全運(yùn)營(yíng)團(tuán)隊(duì)發(fā)送了電子郵件�����,強(qiáng)調(diào)了至少16個(gè)系統(tǒng)上可追溯到5月7日的未處理威脅事件�����。HSE安全運(yùn)營(yíng)團(tuán)隊(duì)要求服務(wù)器團(tuán)隊(duì)重新啟動(dòng)服務(wù)器�����。
但這一切也視乎被入侵者完全掌握�����。愛(ài)爾蘭時(shí)間5月14日午夜剛過(guò)�����,攻擊者在HSE中執(zhí)行了Conti勒索軟件�����。這次襲擊中斷了幾家愛(ài)爾蘭醫(yī)院的服務(wù)�����,導(dǎo)致HSE的全國(guó)和地方網(wǎng)絡(luò)幾乎完全關(guān)閉,迫使許多門診和醫(yī)療服務(wù)被取消�����。
Conti最初要求價(jià)值2000萬(wàn)美元的虛擬貨幣以換取數(shù)字密鑰來(lái)解鎖被該組織破壞的HSE服務(wù)器�����。但報(bào)告披露�����,也許是為了回應(yīng)公眾對(duì)HSE中斷的強(qiáng)烈抗議�����,攻擊者改變了方向�����,在不需要付款的情況下將解密密鑰交給了HSE�����。
盡管如此,恢復(fù)受感染系統(tǒng)的工作仍需要數(shù)月時(shí)間�����。HSE最終招募了愛(ài)爾蘭軍隊(duì)的成員帶來(lái)筆記本電腦和個(gè)人電腦�����,以幫助手動(dòng)恢復(fù)計(jì)算機(jī)系統(tǒng)�����。直到2021年9月21日�����,HSE才宣布其100%的服務(wù)器已被解密�����。
與HSE勒索軟件攻擊一樣糟糕�����,普華永道的報(bào)告強(qiáng)調(diào)�����,它可能會(huì)更糟�����。例如�����,由于HSE的備份基礎(chǔ)設(shè)施只是定期備份到離線磁帶�����,因此不清楚如果解密密鑰不可用�����,將有多少數(shù)據(jù)無(wú)法恢復(fù)�����。
報(bào)告進(jìn)一步提出:
如果攻擊者有意針對(duì)HSE環(huán)境中的特定設(shè)備(例如醫(yī)療設(shè)備)�����;
勒索軟件是否采取行動(dòng)大規(guī)模破壞數(shù)據(jù);
勒索軟件是否具有自動(dòng)傳播和持久性功能�����,例如通過(guò)使用漏洞利用跨域和信任邊界傳播到醫(yī)療設(shè)備(例如WannaCry和NotPetya15攻擊使用的EternalBlue漏洞利用)�����;
如果云系統(tǒng)也已加密�����,例如COVID-19疫苗接種系統(tǒng)�����;
報(bào)告包含許多建議�����,其中大部分都圍繞招聘新人員來(lái)領(lǐng)導(dǎo)組織加倍的安全工作�����。但很明顯�����,HSE在提高安全方面還有大量工作要做�����。例如�����,報(bào)告指出HSE的醫(yī)院網(wǎng)絡(luò)有超過(guò)30,000臺(tái) Windows 7工作站被供應(yīng)商視為已停產(chǎn)�����。
2021年6月�����,HSE總干事表示�����,5月勒索軟件攻擊的恢復(fù)成本可能超過(guò)6億美元�����。
批評(píng)稱HSE是由愛(ài)爾蘭政府公共資助的,因此從理論上講�����,它有足夠的錢來(lái)完成完善的安全建設(shè)�����。
顯然�����,在安全投入預(yù)算與超過(guò)6億美元的恢復(fù)成本之間�����,對(duì)于HSE此次經(jīng)歷來(lái)說(shuō)可算是刻骨銘心�����。
