信息來源:安全內(nèi)參
美國衛(wèi)生與公眾服務(wù)部(HHS)日前發(fā)布一份威脅簡報(bào),介紹了2021年愛爾蘭衛(wèi)生健康服務(wù)署(HSE)遭受Conti勒索軟件攻擊期間的嚴(yán)峻狀況和主要錯誤,并敦促各醫(yī)療保健機(jī)構(gòu)進(jìn)行審查是否存在同類問題。
那次攻擊導(dǎo)致整個愛爾蘭的醫(yī)療保健服務(wù)體系嚴(yán)重癱瘓,成千上萬愛爾蘭民眾的COVID-19疫苗接種信息(包括大量應(yīng)受保護(hù)的個人健康信息)也被攻擊者從HSE網(wǎng)絡(luò)中盜出,總數(shù)據(jù)量約為700 GB。
愛爾蘭衛(wèi)生健康服務(wù)署在2021年6月委托普華永道開展獨(dú)立事后審查,美國衛(wèi)生與公眾服務(wù)部的簡報(bào)正是根據(jù)此次審查的報(bào)告整理。審查發(fā)現(xiàn),那次攻擊之所以能對HSE的IT環(huán)境產(chǎn)生巨大的負(fù)面影響,主要是它自身缺乏應(yīng)對此類突發(fā)事件的準(zhǔn)備。
內(nèi)部安全管理工作嚴(yán)重缺失
美國衛(wèi)生與公眾服務(wù)部在簡報(bào)中提到,“在事發(fā)期間,HSE沒有負(fù)責(zé)網(wǎng)絡(luò)安全的負(fù)責(zé)人,無論是在高管或中層管理人員層面。HSE也沒有專門的委員會,來指導(dǎo)和監(jiān)督網(wǎng)絡(luò)安全工作,以及著手組織關(guān)于緩解HSE網(wǎng)絡(luò)風(fēng)險(xiǎn)的具體舉措。”
“HSE還缺少網(wǎng)絡(luò)安全討論會議,導(dǎo)致他們較難開展細(xì)粒度的網(wǎng)絡(luò)風(fēng)險(xiǎn)討論與記錄,以及識別和提供緩解控制的能力。HSE根本不具備管理與控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所必需的集中網(wǎng)絡(luò)安全職能?!?
更重要的是,HSE還沒有部署任何安全監(jiān)控解決方案,來幫助調(diào)查與響應(yīng)在其IT環(huán)境中檢測到的安全威脅。
以上種種原因,致使HSE對于Conti勒索軟件團(tuán)伙的惡意行為缺乏響應(yīng)。
超八成IT環(huán)境遭加密,恢復(fù)成本超6億美元
事實(shí)上這波攻勢可以說是明目張膽,早在2021年5月7日,部署在多臺HSE服務(wù)器上的Cobalt Strike beacon就已經(jīng)被端點(diǎn)反病毒解決方案檢測到,只是警報(bào)提醒一直沒有得到重視。
美國衛(wèi)生與公眾服務(wù)部還提到,“HSE管理層報(bào)告稱,在此次攻擊當(dāng)中,有80%的IT基礎(chǔ)設(shè)施遭到勒索軟件加密?!?
“勒索軟件攻擊對通信造成了嚴(yán)重影響。因?yàn)镠SE之前幾乎只使用本地郵件系統(tǒng)(包括Exchange),在遭到加密之后,通信完全無法使用?!?
HSE Conti勒索軟件事件時間表(普華永道/HSE)
幸運(yùn)的是,Conti勒索軟件團(tuán)伙為HSE提供了能夠恢復(fù)系統(tǒng)的免費(fèi)解密器,但警告稱如果HSE不支付2000萬美元贖金,則會出售或公開發(fā)布這批被盜數(shù)據(jù)。
Conti勒索軟件團(tuán)伙在交涉的聊天頁面中表示,“我們會免費(fèi)提供網(wǎng)絡(luò)解密工具,但需要澄清一點(diǎn),如果貴方未能與我們聯(lián)系并嘗試解決問題,我們將出售或公開發(fā)布大量私人數(shù)據(jù)?!?
愛爾蘭衛(wèi)生部當(dāng)時曾表示,“HSE確實(shí)獲得了加密密鑰,但需要首先對密鑰進(jìn)行安全評估調(diào)查,之后才能在HSE系統(tǒng)上實(shí)際使用?!?
HSE恢復(fù)工作持續(xù)了四個多月,耗資超過6億美元。其中有1.2億美元的專項(xiàng)恢復(fù)資金主要用于更換和升級所有被勒索軟件感染的系統(tǒng)。
此次勒索軟件攻擊成為國家整體衛(wèi)生服務(wù)遭受網(wǎng)絡(luò)事件影響的首批案例,也是惡意攻擊者直接造成的中斷周期最長的事件之一。相比之下,2017年席卷全球的WannaCry攻擊也僅僅影響到部分英國國家衛(wèi)生服務(wù)部門。
敏感數(shù)據(jù)外泄,曾被公開放出
盡管此次攻擊事件導(dǎo)致愛爾蘭的醫(yī)療保健服務(wù)系統(tǒng)陷入大面積癱瘓,但愛爾蘭總理Taoiseach Micheál Martin表示,HSE絕不會支付任何贖金。
就在攻擊之后,包含患者數(shù)據(jù)的被盜HSE文件樣本歸檔很快被上傳至VirusTotal惡意軟件掃描站點(diǎn)。
愛爾蘭法院隨后向VirusTotal下令,要求其提供曾經(jīng)下載或上傳這批愛爾蘭國家醫(yī)療保健機(jī)密數(shù)據(jù)(涵蓋郵箱地址、電話號碼、IP地址或真實(shí)居住地址)的訂閱用戶信息。
據(jù)外媒The Journal報(bào)道,截至2021年5月25日數(shù)據(jù)被刪除之前,這份HSE被盜數(shù)據(jù)歸檔在VirusTotal上的下載量為23次。
參考來源:https://www.bleepingcomputer.com/news/security/hhs-conti-ransomware-encrypted-80-percent-of-irelands-hse-it-systems/