信息來源：安全內參

據知名博主、前《華盛頓郵報》記者布萊恩·克雷布斯撰文稱，知名咨詢公司普華永道最近發(fā)布了從2021年5月對愛爾蘭公共衛(wèi)生系統(tǒng)勒索軟件“報告”，通過異常坦率的事后調查發(fā)現(xiàn)，從最初的入侵到勒索軟件的啟動，相隔了將近兩個月?！皥蟾妗边€發(fā)現(xiàn)受影響的醫(yī)院有數萬個過時的Windows 7系統(tǒng)，而且衛(wèi)生系統(tǒng)的 IT 管理員未能對大規(guī)模攻擊迫在眉睫的多個警告信號做出反應。

上圖為勒索軟件時間線。

負責運營該國公共衛(wèi)生系統(tǒng)的愛爾蘭衛(wèi)生服務執(zhí)行局(HSE)于2021年5月14日遭到了Conti 勒索軟件的攻擊。報告中的時間線（上圖）稱，“零號病人”工作站的最初感染發(fā)生在2021 年3月。2021年1月18日，一名員工在Windows計算機上打開了兩天前發(fā)送的網絡釣魚電子郵件中的Microsoft Excel文檔。

不到一周后，攻擊者建立了與員工受感染工作站的可靠后門連接。報告稱，在感染系統(tǒng)后，“攻擊者在八周內繼續(xù)在環(huán)境中運行，直到Conti勒索軟件于2021年5月14日引爆”。

根據報告披露，有多個關于嚴重網絡入侵的警告，但這些危險信號要么被錯誤識別，要么沒有及時采取行動：

2021年3月31日，HSE的防病毒軟件檢測到勒索軟件組織常用的兩種軟件工具Cobalt Strike和Mimikatz在患者零工作站上執(zhí)行。但是殺毒軟件被設置為監(jiān)控模式，所以它沒有阻止惡意命令。

5月7日，攻擊者第一次入侵了HSE的服務器，在接下來的五天內，入侵者入侵了6家HSE 醫(yī)院。

5月10日，其中一家醫(yī)院在其Microsoft Windows域控制器上檢測到惡意活動，這是管理用戶身份驗證和網絡訪問的任何Windows企業(yè)網絡的關鍵組件。

2021年5月10日，安全審計員首先發(fā)現(xiàn)了攻擊者入侵醫(yī)院C和醫(yī)院L內系統(tǒng)的證據。醫(yī)院C的防病毒軟件在兩個系統(tǒng)上檢測到Cobalt Strike，但未能隔離惡意文件。

5月13日，HSE的防病毒安全提供商通過電子郵件向HSE的安全運營團隊發(fā)送了電子郵件，強調了至少16個系統(tǒng)上可追溯到5月7日的未處理威脅事件。HSE安全運營團隊要求服務器團隊重新啟動服務器。

但這一切也視乎被入侵者完全掌握。愛爾蘭時間5月14日午夜剛過，攻擊者在HSE中執(zhí)行了Conti勒索軟件。這次襲擊中斷了幾家愛爾蘭醫(yī)院的服務，導致HSE的全國和地方網絡幾乎完全關閉，迫使許多門診和醫(yī)療服務被取消。

Conti最初要求價值2000萬美元的虛擬貨幣以換取數字密鑰來解鎖被該組織破壞的HSE服務器。但報告披露，也許是為了回應公眾對HSE中斷的強烈抗議，攻擊者改變了方向，在不需要付款的情況下將解密密鑰交給了HSE。

盡管如此，恢復受感染系統(tǒng)的工作仍需要數月時間。HSE最終招募了愛爾蘭軍隊的成員帶來筆記本電腦和個人電腦，以幫助手動恢復計算機系統(tǒng)。直到2021年9月21日，HSE才宣布其100%的服務器已被解密。

與HSE勒索軟件攻擊一樣糟糕，普華永道的報告強調，它可能會更糟。例如，由于HSE的備份基礎設施只是定期備份到離線磁帶，因此不清楚如果解密密鑰不可用，將有多少數據無法恢復。

報告進一步提出：

如果攻擊者有意針對HSE環(huán)境中的特定設備（例如醫(yī)療設備）；

勒索軟件是否采取行動大規(guī)模破壞數據；

勒索軟件是否具有自動傳播和持久性功能，例如通過使用漏洞利用跨域和信任邊界傳播到醫(yī)療設備（例如WannaCry和NotPetya15攻擊使用的EternalBlue漏洞利用）；

如果云系統(tǒng)也已加密，例如COVID-19疫苗接種系統(tǒng)；

報告包含許多建議，其中大部分都圍繞招聘新人員來領導組織加倍的安全工作。但很明顯，HSE在提高安全方面還有大量工作要做。例如，報告指出HSE的醫(yī)院網絡有超過30,000臺 Windows 7工作站被供應商視為已停產。

2021年6月，HSE總干事表示，5月勒索軟件攻擊的恢復成本可能超過6億美元。

批評稱HSE是由愛爾蘭政府公共資助的，因此從理論上講，它有足夠的錢來完成完善的安全建設。

顯然，在安全投入預算與超過6億美元的恢復成本之間，對于HSE此次經歷來說可算是刻骨銘心。