11月18日消息，自2018年以來，全球已發(fā)生500次公開確認的針對醫(yī)療保健組織的勒索軟件攻擊。兇猛的攻勢導致近13000個獨立設施癱瘓，并影響到近4900萬份病患記錄。

總體估算，我們認為這些攻擊僅由停機造成的經(jīng)濟損失就已超過920億美元。

勒索軟件攻擊對各行業(yè)不同組織有著廣泛的破壞力。其不僅能夠?qū)⑾到y(tǒng)加密鎖死，還可能將個人數(shù)據(jù)置于失竊與被利用的風險之下。而當來到醫(yī)療保健場景，相關風險將進一步提升，關鍵系統(tǒng)和患者數(shù)據(jù)可能無法訪問，導致嚴重延誤甚至危及病患生命安全。例如，阿拉巴馬州一項將于本月開庭的訴訟就表明，2019年針對一家醫(yī)院的勒索軟件攻擊已致使一名嬰兒死亡。

下面，本文將探究勒索軟件對全球醫(yī)療機構的攻擊與影響。美國研究團隊Comparitech使用全球勒索軟件跟蹤程序采集到的數(shù)據(jù)，探索了勒索軟件在醫(yī)療保健領域引發(fā)的持續(xù)威脅，特別是這些攻擊造成的真實成本。這次研究只涉及公開確認的攻擊，所以實際數(shù)據(jù)可能更加觸目驚心。

圖：2018 年至 2022 年 10 月對醫(yī)療保健組織的勒索軟件攻擊

圖：醫(yī)療保健勒索軟件攻擊次數(shù)（按組織類型劃分）

請注意，某一國家比其他國家遭受的攻擊次數(shù)更多，并不一定代表其更易成為攻擊者的“目標”。相反，這可能代表著該國對勒索軟件攻擊的認識和報告更加成熟且深入。以美國為例，各州就有多種數(shù)據(jù)泄露報告工具和法規(guī)，有助于確認攻擊事件。相比之下，其他國家/地區(qū)可能不存在同類工具或法規(guī)。

重要發(fā)現(xiàn)

2018年初至2022年10月期間，我們在研究中發(fā)現(xiàn)：

• 共有500起針對醫(yī)療機構的勒索軟件攻擊；其中2021年攻擊數(shù)量最多，共發(fā)生166起。

• 共12961家獨立醫(yī)院/診所/組織可能受到攻擊影響。

• 攻擊至少影響到4884萬7107份個人病歷，其中接近半數(shù)（約2000萬份）來自2021年。

• 贖金要求從900美元到2000萬美元不等。

• 我們估計，黑客索取的贖金總額已超過12億美元。

• 我們估計，受害者已向黑客支付了近4400萬美元贖金。

• 勒索攻擊造成的停機時間從幾小時到七個月（期間系統(tǒng)無法滿負荷運轉(zhuǎn)）不等。

• 攻擊引發(fā)的平均停機時間從2021年和2022年開始急劇增加，分別為19.5天和16天。

• 全球勒索軟件引發(fā)的醫(yī)療機構停機總成本估計為920億美元。

• Conti、Pysa、Maze、Hive和Vice Society成為占比最高的幾種勒索軟件毒株，前三種在2020/2021年間占據(jù)主導地位，后兩種在2021/2022年間占主導地位。

針對醫(yī)療保健組織的逐年/逐月勒索軟件攻擊統(tǒng)計

如前文提到，2021年是醫(yī)療保健組織遭受勒索軟件攻擊最嚴重的一年，占自2018年以來整個采樣周期內(nèi)所有攻擊的33%（166起）。2020年同樣占比不小，共發(fā)生137起攻擊。

這兩年恰逢新冠疫情大爆發(fā)。由于醫(yī)療機構運營壓力巨大、資源捉襟見肘，惡意黑客也找到了趁虛而入的方法，例如疲憊的員工們更難發(fā)現(xiàn)包含勒索軟件的網(wǎng)絡釣魚郵件。

2022年起，針對醫(yī)療保健組織的勒索軟件攻擊有所減少，截至10月底共83起。雖然數(shù)量較少，但預計這一數(shù)字在未來幾個月內(nèi)又會重新上升，因為不少攻擊是在發(fā)生幾個月后才被公開上報（例如當黑客已經(jīng)對外公布數(shù)據(jù)，或向受影響患者發(fā)出通告時，相關機構才被迫承認）。

攻擊數(shù)量：

• 2022年（截至10月）— 83起

• 2021年 – 166起

• 2020年 – 137起

• 2019年 – 78起

• 2018年 – 36起

受影響的病患記錄數(shù)量：

• 2022年（截至10月）— 535萬1462份

• 2021年 – 2000萬8774份

• 2020年 – 488萬9336份

• 2019年 – 1802萬7346份

• 2018年 – 57萬189份

平均停機時間：

• 2022年（截至10月）– 16.1天

• 2021年 – 19.5天

• 2020年 – 12.3天

• 2019年 – 13.3天

• 2018年 – 2.6天

各年停機時長和相應事件數(shù)量（已知部分）：

• 2022年（截至10月）– 514天 (32起事件)

• 2021年 – 974天（50起事件）

• 2020年 – 394天（32起事件）

• 2019年 – 279天（21起事件）

• 2018年 – 13天（5起事件）

估算總停機時間（將已知事件的平均值推衍至未知事件算出）：

• 2022年（截至10月） – 1334天

• 2021年 – 3232天

• 2020年 – 1685天

• 2019年 – 1037天

• 2018年 – 94天

估算停機成本：

• 2022年（截至10月） – 166億美元

• 2021年 – 403億美元

• 2020年 – 210億美元

• 2019年 – 129億美元

• 2018年 – 117億美元

勒索軟件攻擊對醫(yī)療機構造成的真實成本

不同攻擊事件提出的贖金數(shù)額往往存在很大差異，統(tǒng)計數(shù)字發(fā)現(xiàn)贖金最低可至900美元（法國伊蘇丹的Centre Hospitalier de la Tour Blanche à Issoudun醫(yī)療中心于2019年上報），最高則達到2000萬美元（由愛爾蘭健康服務局于2021年上報）。造成這種差異的原因，可能是因多數(shù)組織并未透露贖金要求（特別是決定屈服、向黑客支付贖金的組織），所以抽樣結果不足以反映整體趨勢。

只有40起事件報告中給出的贖金數(shù)字。除以上提到的愛爾蘭健康服務局外，其他贖金數(shù)字巨大的事件還包括：

• 以色列Hillel Yaffe醫(yī)療中心——1000萬美元：2021年10月，黑客向以色列Hillel Yaffe醫(yī)療中心勒索1000萬美元。該中心拒絕付款，整個恢復周期持續(xù)了約一個月。

• 法國Le Centre Hospitalier Sud Francilien——1000萬美元：法國CHSF在2022年8月收到1000萬美元贖金要求。LockBit團伙隨后將贖金要求減少至100萬美元，但截至本文撰稿時，受害方仍未付款。目前距離服務中斷已過去三周，預計將在11月內(nèi)全面恢復。

• 美國UF Health Central Florida——500萬美元：雖然尚未確認受害方是否支付了贖金，但院方已經(jīng)提交一份涉及70萬981名患者的數(shù)據(jù)泄露報告，這似乎表明其沒有屈服于黑客的壓力。

根據(jù)目前掌握的數(shù)據(jù)，可以看到：

平均勒索金額：

• 2022年（截至10月） – 188萬7058美元

• 2021年 – 579萬2857美元

• 2020年 – 69萬624美元

• 2019年 – 38萬6067美元

• 2018年 – 19400美元

索取的贖金總額（已知部分）：

• 2022年（截至10月）– 1887萬美元（10起事件）

• 2021年 – 4055萬美元（7起事件）

• 2020年 – 414萬美元（6起事件）

• 2019年 – 463萬美元（12起事件）

• 2018年 – 97000美元（5起事件）

受害方支付贖金的百分比：

• 2022年（截至10月）– 13%（16起事件中，有2起支付了贖金）

• 2021年 – 9%（35起事件中，有3起支付了贖金）

• 2020年 – 26%（38起事件中，有10起支付了贖金）

• 2019年 – 30%（40起事件中，有12起支付了贖金）

• 2018年 – 36%（14起事件中，有5起支付了贖金）

通過這些數(shù)字，我們可以估算出：

贖金估算總額：

• 2022年（截至10月）– 1.566億美元

• 2021年 – 9.616億美元

• 2020年 – 9460萬美元

• 2019年 – 3010萬美元

• 2018年 – 69萬8400美元

已支付贖金的估算總額：

• 2022年（截至10月）– 2140萬美元

• 2021年 – 無法確認支付贖金總額

• 2020年 –1930萬美元

• 2019年 – 270萬美元

• 2018年 – 38萬5714美元

可以看到，近年來勒索軟件攻擊提出的贖金要求一路飆升，但能夠確認的贖金支付數(shù)額并不算大。隨著人們對勒索軟件的認知不斷提高，更多企業(yè)可能不會公開贖金要求以及是否支付了贖金。畢竟有觀點認為，承認支付贖金只會給這些組織招來更多后續(xù)勒索攻擊。

這一觀點有其事實支撐。2021年根本無法確認支付贖金總額，而2022年也僅有一筆贖金上報：惡意黑客對盧森堡、比利時和荷蘭的130多處分支機構系統(tǒng)造成嚴重破壞之后，牙醫(yī)診所Colosseum Dental為此支付了超過200萬美元贖金。

用停機時間計算損失

可以看到，單靠贖金來計算勒索軟件攻擊造成的損失非常困難。但我們發(fā)現(xiàn)，此類事件中還有另一個更易于衡量的因素——停機時間。

在多數(shù)情況下，勒索軟件攻擊都會導致系統(tǒng)在數(shù)小時、數(shù)天、數(shù)周甚至數(shù)月之內(nèi)無法訪問。在某些極端情況下，系統(tǒng)甚至無法恢復正常。

從前文數(shù)據(jù)可以看到，我們整理到共140個實體的停機時間，總停機時長為2174天，相除計算得出每起攻擊事件的平均停機時長。以此為依據(jù)，即可估算出所有上報勒索軟件攻擊的停機總時長——結果為，全球醫(yī)療保健組織因停機而承受的業(yè)務中斷總計7381天，相當于20多年。

2017年的一項研究發(fā)現(xiàn)，20個不同行業(yè)的平均每分鐘停機成本估算為8662美元。按同樣的標準計算，醫(yī)療保健組織僅因系統(tǒng)停機就損失了超過920億美元。

盡管這個數(shù)字看似巨大，但從部分醫(yī)療機構在遭受攻擊后披露的信息來看，好像也不是那么夸張。

例如，愛爾蘭健康服務局就透露，在攻擊發(fā)生之后，他們花費了21億美元升級其IT系統(tǒng)。2021年針對美國Scripps Health的攻擊也造成了超1.12億美元損失。

針對醫(yī)療機構的勒索軟件攻擊仍是一大突出威脅

盡管2022年針對醫(yī)療保健組織的勒索攻擊數(shù)量有所下降，但這并不代表威脅程度有所降低?？梢钥吹綈阂夂诳?span style="font-weight:700;">提出的贖金數(shù)字和造成的停機時間愈發(fā)可觀，而且黑客可能也在選取更具針對性的攻擊方法，確保用更廣泛的破壞力提升收到贖金的機率。

此外，針對系統(tǒng)進行加密鎖定和數(shù)據(jù)竊取的“雙重勒索”也愈發(fā)多見。即使受害實體能夠利用備份快速恢復系統(tǒng)，惡意黑客仍然掌握著大量病患私人數(shù)據(jù)，足以強迫企業(yè)選擇接受談判。而且即使企業(yè)方最終拒絕支付贖金，出售這些數(shù)據(jù)也可能給黑客帶來巨額利潤。

勒索軟件攻擊有所減少的另一個原因（此趨勢在美國乃至全球各行業(yè)均有體現(xiàn)）在于，組織對于遭受攻擊的態(tài)度越來越“低調(diào)”。隨著人們對勒索攻擊認知的增加，受影響實體不太愿意以坦誠的態(tài)度上報此類事件。這一方面源自遭受勒索軟件攻擊帶來的恥辱感，另外也是擔心會在未來招致更多攻擊。

研究方法

從勒索軟件攻擊圖譜中的數(shù)據(jù)來看，我們在研究中共發(fā)現(xiàn)了500起針對醫(yī)療保健組織的勒索軟件攻擊。結合數(shù)據(jù)內(nèi)容，我們最終估算出了贖金總額、是否支付贖金以及造成的停機時間。

對于未給出具體停機數(shù)字的事件，例如“數(shù)日”、“一個月”或“六周后已恢復至80%”，我們會根據(jù)數(shù)字的下限進行估算。例如，“數(shù)日”計為3天，“一個月”計為攻擊發(fā)生當月的總天數(shù)，“六周后已恢復至80%”則直接計為六周。

對于受勒索攻擊事件影響的組織，我們將其整理為17種具體類型，定義如下：

• 學術性醫(yī)院

• 救護服務

• 診所：提供全方位醫(yī)療保健服務的診所

• 診所網(wǎng)絡：由多家診所組成的體系，提供全方位的醫(yī)療保健服務

• 牙醫(yī)診所：提供牙科保健服務的診所

• 政府衛(wèi)生部門：受健康相關數(shù)據(jù)泄露影響的一般政府部門/實體，例如人類衛(wèi)生服務部/州政府

• 家庭/老年護理：包括在當?shù)厣鐓^(qū)提供社會服務的組織

• 醫(yī)院

• 醫(yī)院網(wǎng)絡：由多家醫(yī)院組成的體系，提供全方位的醫(yī)療保健服務

• 實驗室：以醫(yī)療健康為基礎的實驗室業(yè)務

• 心理健康：為成癮性等精神疾病提供支持的服務機構

• 驗光診所：提供眼科保健服務的診所

• 藥房：專門提供藥品的組織/網(wǎng)絡

• 康復服務

• 醫(yī)療研究機構

• ?？圃\所：面向特定醫(yī)療保健領域的診所，例如內(nèi)科診所或康復中心

• ?？圃\所網(wǎng)絡：同上，但擁有多家診所/多個運營地點