信息來(lái)源：安全內(nèi)參

美國(guó)衛(wèi)生與公眾服務(wù)部（HHS）日前發(fā)布一份威脅簡(jiǎn)報(bào)，介紹了2021年愛(ài)爾蘭衛(wèi)生健康服務(wù)署（HSE）遭受Conti勒索軟件攻擊期間的嚴(yán)峻狀況和主要錯(cuò)誤，并敦促各醫(yī)療保健機(jī)構(gòu)進(jìn)行審查是否存在同類(lèi)問(wèn)題。

那次攻擊導(dǎo)致整個(gè)愛(ài)爾蘭的醫(yī)療保健服務(wù)體系嚴(yán)重癱瘓，成千上萬(wàn)愛(ài)爾蘭民眾的COVID-19疫苗接種信息（包括大量應(yīng)受保護(hù)的個(gè)人健康信息）也被攻擊者從HSE網(wǎng)絡(luò)中盜出，總數(shù)據(jù)量約為700 GB。

愛(ài)爾蘭衛(wèi)生健康服務(wù)署在2021年6月委托普華永道開(kāi)展獨(dú)立事后審查，美國(guó)衛(wèi)生與公眾服務(wù)部的簡(jiǎn)報(bào)正是根據(jù)此次審查的報(bào)告整理。審查發(fā)現(xiàn)，那次攻擊之所以能對(duì)HSE的IT環(huán)境產(chǎn)生巨大的負(fù)面影響，主要是它自身缺乏應(yīng)對(duì)此類(lèi)突發(fā)事件的準(zhǔn)備。

內(nèi)部安全管理工作嚴(yán)重缺失

美國(guó)衛(wèi)生與公眾服務(wù)部在簡(jiǎn)報(bào)中提到，“在事發(fā)期間，HSE沒(méi)有負(fù)責(zé)網(wǎng)絡(luò)安全的負(fù)責(zé)人，無(wú)論是在高管或中層管理人員層面。HSE也沒(méi)有專(zhuān)門(mén)的委員會(huì)，來(lái)指導(dǎo)和監(jiān)督網(wǎng)絡(luò)安全工作，以及著手組織關(guān)于緩解HSE網(wǎng)絡(luò)風(fēng)險(xiǎn)的具體舉措。”

“HSE還缺少網(wǎng)絡(luò)安全討論會(huì)議，導(dǎo)致他們較難開(kāi)展細(xì)粒度的網(wǎng)絡(luò)風(fēng)險(xiǎn)討論與記錄，以及識(shí)別和提供緩解控制的能力。HSE根本不具備管理與控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所必需的集中網(wǎng)絡(luò)安全職能。”

更重要的是，HSE還沒(méi)有部署任何安全監(jiān)控解決方案，來(lái)幫助調(diào)查與響應(yīng)在其IT環(huán)境中檢測(cè)到的安全威脅。

以上種種原因，致使HSE對(duì)于Conti勒索軟件團(tuán)伙的惡意行為缺乏響應(yīng)。

超八成IT環(huán)境遭加密，恢復(fù)成本超6億美元

事實(shí)上這波攻勢(shì)可以說(shuō)是明目張膽，早在2021年5月7日，部署在多臺(tái)HSE服務(wù)器上的Cobalt Strike beacon就已經(jīng)被端點(diǎn)反病毒解決方案檢測(cè)到，只是警報(bào)提醒一直沒(méi)有得到重視。

美國(guó)衛(wèi)生與公眾服務(wù)部還提到，“HSE管理層報(bào)告稱(chēng)，在此次攻擊當(dāng)中，有80%的IT基礎(chǔ)設(shè)施遭到勒索軟件加密。”

“勒索軟件攻擊對(duì)通信造成了嚴(yán)重影響。因?yàn)镠SE之前幾乎只使用本地郵件系統(tǒng)（包括Exchange），在遭到加密之后，通信完全無(wú)法使用?！?

HSE Conti勒索軟件事件時(shí)間表（普華永道/HSE）

幸運(yùn)的是，Conti勒索軟件團(tuán)伙為HSE提供了能夠恢復(fù)系統(tǒng)的免費(fèi)解密器，但警告稱(chēng)如果HSE不支付2000萬(wàn)美元贖金，則會(huì)出售或公開(kāi)發(fā)布這批被盜數(shù)據(jù)。

Conti勒索軟件團(tuán)伙在交涉的聊天頁(yè)面中表示，“我們會(huì)免費(fèi)提供網(wǎng)絡(luò)解密工具，但需要澄清一點(diǎn)，如果貴方未能與我們聯(lián)系并嘗試解決問(wèn)題，我們將出售或公開(kāi)發(fā)布大量私人數(shù)據(jù)?！?

愛(ài)爾蘭衛(wèi)生部當(dāng)時(shí)曾表示，“HSE確實(shí)獲得了加密密鑰，但需要首先對(duì)密鑰進(jìn)行安全評(píng)估調(diào)查，之后才能在HSE系統(tǒng)上實(shí)際使用?！?

HSE恢復(fù)工作持續(xù)了四個(gè)多月，耗資超過(guò)6億美元。其中有1.2億美元的專(zhuān)項(xiàng)恢復(fù)資金主要用于更換和升級(jí)所有被勒索軟件感染的系統(tǒng)。

此次勒索軟件攻擊成為國(guó)家整體衛(wèi)生服務(wù)遭受網(wǎng)絡(luò)事件影響的首批案例，也是惡意攻擊者直接造成的中斷周期最長(zhǎng)的事件之一。相比之下，2017年席卷全球的WannaCry攻擊也僅僅影響到部分英國(guó)國(guó)家衛(wèi)生服務(wù)部門(mén)。

敏感數(shù)據(jù)外泄，曾被公開(kāi)放出

盡管此次攻擊事件導(dǎo)致愛(ài)爾蘭的醫(yī)療保健服務(wù)系統(tǒng)陷入大面積癱瘓，但愛(ài)爾蘭總理Taoiseach Micheál Martin表示，HSE絕不會(huì)支付任何贖金。

就在攻擊之后，包含患者數(shù)據(jù)的被盜HSE文件樣本歸檔很快被上傳至VirusTotal惡意軟件掃描站點(diǎn)。

愛(ài)爾蘭法院隨后向VirusTotal下令，要求其提供曾經(jīng)下載或上傳這批愛(ài)爾蘭國(guó)家醫(yī)療保健機(jī)密數(shù)據(jù)（涵蓋郵箱地址、電話(huà)號(hào)碼、IP地址或真實(shí)居住地址）的訂閱用戶(hù)信息。

據(jù)外媒The Journal報(bào)道，截至2021年5月25日數(shù)據(jù)被刪除之前，這份HSE被盜數(shù)據(jù)歸檔在VirusTotal上的下載量為23次。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/hhs-conti-ransomware-encrypted-80-percent-of-irelands-hse-it-systems/