11月18日消息，自2018年以來，全球已發(fā)生500次公開確認(rèn)的針對醫(yī)療保健組織的勒索軟件攻擊。兇猛的攻勢導(dǎo)致近13000個(gè)獨(dú)立設(shè)施癱瘓，并影響到近4900萬份病患記錄。

總體估算，我們認(rèn)為這些攻擊僅由停機(jī)造成的經(jīng)濟(jì)損失就已超過920億美元。

勒索軟件攻擊對各行業(yè)不同組織有著廣泛的破壞力。其不僅能夠?qū)⑾到y(tǒng)加密鎖死，還可能將個(gè)人數(shù)據(jù)置于失竊與被利用的風(fēng)險(xiǎn)之下。而當(dāng)來到醫(yī)療保健場景，相關(guān)風(fēng)險(xiǎn)將進(jìn)一步提升，關(guān)鍵系統(tǒng)和患者數(shù)據(jù)可能無法訪問，導(dǎo)致嚴(yán)重延誤甚至危及病患生命安全。例如，阿拉巴馬州一項(xiàng)將于本月開庭的訴訟就表明，2019年針對一家醫(yī)院的勒索軟件攻擊已致使一名嬰兒死亡。

下面，本文將探究勒索軟件對全球醫(yī)療機(jī)構(gòu)的攻擊與影響。美國研究團(tuán)隊(duì)Comparitech使用全球勒索軟件跟蹤程序采集到的數(shù)據(jù)，探索了勒索軟件在醫(yī)療保健領(lǐng)域引發(fā)的持續(xù)威脅，特別是這些攻擊造成的真實(shí)成本。這次研究只涉及公開確認(rèn)的攻擊，所以實(shí)際數(shù)據(jù)可能更加觸目驚心。

圖：2018 年至 2022 年 10 月對醫(yī)療保健組織的勒索軟件攻擊

圖：醫(yī)療保健勒索軟件攻擊次數(shù)（按組織類型劃分）

請注意，某一國家比其他國家遭受的攻擊次數(shù)更多，并不一定代表其更易成為攻擊者的“目標(biāo)”。相反，這可能代表著該國對勒索軟件攻擊的認(rèn)識和報(bào)告更加成熟且深入。以美國為例，各州就有多種數(shù)據(jù)泄露報(bào)告工具和法規(guī)，有助于確認(rèn)攻擊事件。相比之下，其他國家/地區(qū)可能不存在同類工具或法規(guī)。

重要發(fā)現(xiàn)

2018年初至2022年10月期間，我們在研究中發(fā)現(xiàn)：

• 共有500起針對醫(yī)療機(jī)構(gòu)的勒索軟件攻擊；其中2021年攻擊數(shù)量最多，共發(fā)生166起。

• 共12961家獨(dú)立醫(yī)院/診所/組織可能受到攻擊影響。

• 攻擊至少影響到4884萬7107份個(gè)人病歷，其中接近半數(shù)（約2000萬份）來自2021年。

• 贖金要求從900美元到2000萬美元不等。

• 我們估計(jì)，黑客索取的贖金總額已超過12億美元。

• 我們估計(jì)，受害者已向黑客支付了近4400萬美元贖金。

• 勒索攻擊造成的停機(jī)時(shí)間從幾小時(shí)到七個(gè)月（期間系統(tǒng)無法滿負(fù)荷運(yùn)轉(zhuǎn)）不等。

• 攻擊引發(fā)的平均停機(jī)時(shí)間從2021年和2022年開始急劇增加，分別為19.5天和16天。

• 全球勒索軟件引發(fā)的醫(yī)療機(jī)構(gòu)停機(jī)總成本估計(jì)為920億美元。

• Conti、Pysa、Maze、Hive和Vice Society成為占比最高的幾種勒索軟件毒株，前三種在2020/2021年間占據(jù)主導(dǎo)地位，后兩種在2021/2022年間占主導(dǎo)地位。

針對醫(yī)療保健組織的逐年/逐月勒索軟件攻擊統(tǒng)計(jì)

如前文提到，2021年是醫(yī)療保健組織遭受勒索軟件攻擊最嚴(yán)重的一年，占自2018年以來整個(gè)采樣周期內(nèi)所有攻擊的33%（166起）。2020年同樣占比不小，共發(fā)生137起攻擊。

這兩年恰逢新冠疫情大爆發(fā)。由于醫(yī)療機(jī)構(gòu)運(yùn)營壓力巨大、資源捉襟見肘，惡意黑客也找到了趁虛而入的方法，例如疲憊的員工們更難發(fā)現(xiàn)包含勒索軟件的網(wǎng)絡(luò)釣魚郵件。

2022年起，針對醫(yī)療保健組織的勒索軟件攻擊有所減少，截至10月底共83起。雖然數(shù)量較少，但預(yù)計(jì)這一數(shù)字在未來幾個(gè)月內(nèi)又會重新上升，因?yàn)椴簧俟羰窃诎l(fā)生幾個(gè)月后才被公開上報(bào)（例如當(dāng)黑客已經(jīng)對外公布數(shù)據(jù)，或向受影響患者發(fā)出通告時(shí)，相關(guān)機(jī)構(gòu)才被迫承認(rèn)）。

攻擊數(shù)量：

• 2022年（截至10月）— 83起

• 2021年 – 166起

• 2020年 – 137起

• 2019年 – 78起

• 2018年 – 36起

受影響的病患記錄數(shù)量：

• 2022年（截至10月）— 535萬1462份

• 2021年 – 2000萬8774份

• 2020年 – 488萬9336份

• 2019年 – 1802萬7346份

• 2018年 – 57萬189份

平均停機(jī)時(shí)間：

• 2022年（截至10月）– 16.1天

• 2021年 – 19.5天

• 2020年 – 12.3天

• 2019年 – 13.3天

• 2018年 – 2.6天

各年停機(jī)時(shí)長和相應(yīng)事件數(shù)量（已知部分）：

• 2022年（截至10月）– 514天 (32起事件)

• 2021年 – 974天（50起事件）

• 2020年 – 394天（32起事件）

• 2019年 – 279天（21起事件）

• 2018年 – 13天（5起事件）

估算總停機(jī)時(shí)間（將已知事件的平均值推衍至未知事件算出）：

• 2022年（截至10月） – 1334天

• 2021年 – 3232天

• 2020年 – 1685天

• 2019年 – 1037天

• 2018年 – 94天

估算停機(jī)成本：

• 2022年（截至10月） – 166億美元

• 2021年 – 403億美元

• 2020年 – 210億美元

• 2019年 – 129億美元

• 2018年 – 117億美元

勒索軟件攻擊對醫(yī)療機(jī)構(gòu)造成的真實(shí)成本

不同攻擊事件提出的贖金數(shù)額往往存在很大差異，統(tǒng)計(jì)數(shù)字發(fā)現(xiàn)贖金最低可至900美元（法國伊蘇丹的Centre Hospitalier de la Tour Blanche à Issoudun醫(yī)療中心于2019年上報(bào)），最高則達(dá)到2000萬美元（由愛爾蘭健康服務(wù)局于2021年上報(bào)）。造成這種差異的原因，可能是因多數(shù)組織并未透露贖金要求（特別是決定屈服、向黑客支付贖金的組織），所以抽樣結(jié)果不足以反映整體趨勢。

只有40起事件報(bào)告中給出的贖金數(shù)字。除以上提到的愛爾蘭健康服務(wù)局外，其他贖金數(shù)字巨大的事件還包括：

• 以色列Hillel Yaffe醫(yī)療中心——1000萬美元：2021年10月，黑客向以色列Hillel Yaffe醫(yī)療中心勒索1000萬美元。該中心拒絕付款，整個(gè)恢復(fù)周期持續(xù)了約一個(gè)月。

• 法國Le Centre Hospitalier Sud Francilien——1000萬美元：法國CHSF在2022年8月收到1000萬美元贖金要求。LockBit團(tuán)伙隨后將贖金要求減少至100萬美元，但截至本文撰稿時(shí)，受害方仍未付款。目前距離服務(wù)中斷已過去三周，預(yù)計(jì)將在11月內(nèi)全面恢復(fù)。

• 美國UF Health Central Florida——500萬美元：雖然尚未確認(rèn)受害方是否支付了贖金，但院方已經(jīng)提交一份涉及70萬981名患者的數(shù)據(jù)泄露報(bào)告，這似乎表明其沒有屈服于黑客的壓力。

根據(jù)目前掌握的數(shù)據(jù)，可以看到：

平均勒索金額：

• 2022年（截至10月） – 188萬7058美元

• 2021年 – 579萬2857美元

• 2020年 – 69萬624美元

• 2019年 – 38萬6067美元

• 2018年 – 19400美元

索取的贖金總額（已知部分）：

• 2022年（截至10月）– 1887萬美元（10起事件）

• 2021年 – 4055萬美元（7起事件）

• 2020年 – 414萬美元（6起事件）

• 2019年 – 463萬美元（12起事件）

• 2018年 – 97000美元（5起事件）

受害方支付贖金的百分比：

• 2022年（截至10月）– 13%（16起事件中，有2起支付了贖金）

• 2021年 – 9%（35起事件中，有3起支付了贖金）

• 2020年 – 26%（38起事件中，有10起支付了贖金）

• 2019年 – 30%（40起事件中，有12起支付了贖金）

• 2018年 – 36%（14起事件中，有5起支付了贖金）

通過這些數(shù)字，我們可以估算出：

贖金估算總額：

• 2022年（截至10月）– 1.566億美元

• 2021年 – 9.616億美元

• 2020年 – 9460萬美元

• 2019年 – 3010萬美元

• 2018年 – 69萬8400美元

已支付贖金的估算總額：

• 2022年（截至10月）– 2140萬美元

• 2021年 – 無法確認(rèn)支付贖金總額

• 2020年 –1930萬美元

• 2019年 – 270萬美元

• 2018年 – 38萬5714美元

可以看到，近年來勒索軟件攻擊提出的贖金要求一路飆升，但能夠確認(rèn)的贖金支付數(shù)額并不算大。隨著人們對勒索軟件的認(rèn)知不斷提高，更多企業(yè)可能不會公開贖金要求以及是否支付了贖金。畢竟有觀點(diǎn)認(rèn)為，承認(rèn)支付贖金只會給這些組織招來更多后續(xù)勒索攻擊。

這一觀點(diǎn)有其事實(shí)支撐。2021年根本無法確認(rèn)支付贖金總額，而2022年也僅有一筆贖金上報(bào)：惡意黑客對盧森堡、比利時(shí)和荷蘭的130多處分支機(jī)構(gòu)系統(tǒng)造成嚴(yán)重破壞之后，牙醫(yī)診所Colosseum Dental為此支付了超過200萬美元贖金。

用停機(jī)時(shí)間計(jì)算損失

可以看到，單靠贖金來計(jì)算勒索軟件攻擊造成的損失非常困難。但我們發(fā)現(xiàn)，此類事件中還有另一個(gè)更易于衡量的因素——停機(jī)時(shí)間。

在多數(shù)情況下，勒索軟件攻擊都會導(dǎo)致系統(tǒng)在數(shù)小時(shí)、數(shù)天、數(shù)周甚至數(shù)月之內(nèi)無法訪問。在某些極端情況下，系統(tǒng)甚至無法恢復(fù)正常。

從前文數(shù)據(jù)可以看到，我們整理到共140個(gè)實(shí)體的停機(jī)時(shí)間，總停機(jī)時(shí)長為2174天，相除計(jì)算得出每起攻擊事件的平均停機(jī)時(shí)長。以此為依據(jù)，即可估算出所有上報(bào)勒索軟件攻擊的停機(jī)總時(shí)長——結(jié)果為，全球醫(yī)療保健組織因停機(jī)而承受的業(yè)務(wù)中斷總計(jì)7381天，相當(dāng)于20多年。

2017年的一項(xiàng)研究發(fā)現(xiàn)，20個(gè)不同行業(yè)的平均每分鐘停機(jī)成本估算為8662美元。按同樣的標(biāo)準(zhǔn)計(jì)算，醫(yī)療保健組織僅因系統(tǒng)停機(jī)就損失了超過920億美元。

盡管這個(gè)數(shù)字看似巨大，但從部分醫(yī)療機(jī)構(gòu)在遭受攻擊后披露的信息來看，好像也不是那么夸張。

例如，愛爾蘭健康服務(wù)局就透露，在攻擊發(fā)生之后，他們花費(fèi)了21億美元升級其IT系統(tǒng)。2021年針對美國Scripps Health的攻擊也造成了超1.12億美元損失。

針對醫(yī)療機(jī)構(gòu)的勒索軟件攻擊仍是一大突出威脅

盡管2022年針對醫(yī)療保健組織的勒索攻擊數(shù)量有所下降，但這并不代表威脅程度有所降低。可以看到惡意黑客提出的贖金數(shù)字和造成的停機(jī)時(shí)間愈發(fā)可觀，而且黑客可能也在選取更具針對性的攻擊方法，確保用更廣泛的破壞力提升收到贖金的機(jī)率。

此外，針對系統(tǒng)進(jìn)行加密鎖定和數(shù)據(jù)竊取的“雙重勒索”也愈發(fā)多見。即使受害實(shí)體能夠利用備份快速恢復(fù)系統(tǒng)，惡意黑客仍然掌握著大量病患私人數(shù)據(jù)，足以強(qiáng)迫企業(yè)選擇接受談判。而且即使企業(yè)方最終拒絕支付贖金，出售這些數(shù)據(jù)也可能給黑客帶來巨額利潤。

勒索軟件攻擊有所減少的另一個(gè)原因（此趨勢在美國乃至全球各行業(yè)均有體現(xiàn)）在于，組織對于遭受攻擊的態(tài)度越來越“低調(diào)”。隨著人們對勒索攻擊認(rèn)知的增加，受影響實(shí)體不太愿意以坦誠的態(tài)度上報(bào)此類事件。這一方面源自遭受勒索軟件攻擊帶來的恥辱感，另外也是擔(dān)心會在未來招致更多攻擊。

研究方法

從勒索軟件攻擊圖譜中的數(shù)據(jù)來看，我們在研究中共發(fā)現(xiàn)了500起針對醫(yī)療保健組織的勒索軟件攻擊。結(jié)合數(shù)據(jù)內(nèi)容，我們最終估算出了贖金總額、是否支付贖金以及造成的停機(jī)時(shí)間。

對于未給出具體停機(jī)數(shù)字的事件，例如“數(shù)日”、“一個(gè)月”或“六周后已恢復(fù)至80%”，我們會根據(jù)數(shù)字的下限進(jìn)行估算。例如，“數(shù)日”計(jì)為3天，“一個(gè)月”計(jì)為攻擊發(fā)生當(dāng)月的總天數(shù)，“六周后已恢復(fù)至80%”則直接計(jì)為六周。

對于受勒索攻擊事件影響的組織，我們將其整理為17種具體類型，定義如下：

• 學(xué)術(shù)性醫(yī)院

• 救護(hù)服務(wù)

• 診所：提供全方位醫(yī)療保健服務(wù)的診所

• 診所網(wǎng)絡(luò)：由多家診所組成的體系，提供全方位的醫(yī)療保健服務(wù)

• 牙醫(yī)診所：提供牙科保健服務(wù)的診所

• 政府衛(wèi)生部門：受健康相關(guān)數(shù)據(jù)泄露影響的一般政府部門/實(shí)體，例如人類衛(wèi)生服務(wù)部/州政府

• 家庭/老年護(hù)理：包括在當(dāng)?shù)厣鐓^(qū)提供社會服務(wù)的組織

• 醫(yī)院

• 醫(yī)院網(wǎng)絡(luò)：由多家醫(yī)院組成的體系，提供全方位的醫(yī)療保健服務(wù)

• 實(shí)驗(yàn)室：以醫(yī)療健康為基礎(chǔ)的實(shí)驗(yàn)室業(yè)務(wù)

• 心理健康：為成癮性等精神疾病提供支持的服務(wù)機(jī)構(gòu)

• 驗(yàn)光診所：提供眼科保健服務(wù)的診所

• 藥房：專門提供藥品的組織/網(wǎng)絡(luò)

• 康復(fù)服務(wù)

• 醫(yī)療研究機(jī)構(gòu)

• ?？圃\所：面向特定醫(yī)療保健領(lǐng)域的診所，例如內(nèi)科診所或康復(fù)中心

• ?？圃\所網(wǎng)絡(luò)：同上，但擁有多家診所/多個(gè)運(yùn)營地點(diǎn)