朝鮮黑客利用Maui攻擊美國醫療組織長達一年之久
近年來,醫療系統遭遇網絡攻擊的事件時有發生,勒索軟件攻擊屢見不鮮。以2020年為例,醫療衛生行業遭受網絡攻擊數量同比增長5倍,占據全球APT活動事件的23.7%,醫療行業網絡安全建設長期面臨挑戰。
上周四(7月7日),美國網絡安全及基礎設施安全局(CISA)、聯邦調查局(FBI)與美國財政部于發布了聯合網路安全通報(Joint Cybersecurity Advisory),警告自去年5月以來就發現由朝鮮政府支持的黑客集團,正鎖定醫療保健與公衛(Healthcare and Public Health,HPH)組織發動Maui勒索軟件攻擊。
FBI表示,黑客集團利用Maui來加密HPH組織各項服務的伺服器,涵蓋電子病歷服務、診斷服務、影像服務,以及內部網路服務等,某些案例甚至讓受到攻擊的服務很久才復原。
網絡安全公司Stairwell也在本周公布了Maui勒索軟件的研究報告,表示這是個少見的勒索軟件家族,缺乏一般勒索軟件即服務(RaaS)所應具備的工具,例如在勒索信中嵌入復原指示,或是可自動將加密金鑰傳給駭客的工具等。相反的,研究人員相信駭客是手動執行Maui攻擊,指定了攻擊時所要加密的檔案。
FBI認為,PHP組織之所以遭到Maui勒索軟件黑客鎖定,應是因為黑客認為這些提供攸關人們健康與生命服務的醫療照護組織更愿意支付贖金,而此一論點也讓FBI、CISA及美國財政部相信它們將會繼續針對該領域的組織進行攻擊,因而提出警告。
此外,不管是FBI、CISA或財政部都強烈反對受害者支付贖金,認為就算支付贖金也無法保證就能回復檔案與紀錄,還有可能招來被制裁的風險。
美國財政部曾在去年9月公告,支付贖金將讓犯罪份子及被制裁的對手獲利,間接協助它們的非法目標,包括用來資助不利于美國國家安全或外交政策的活動,因此,這類的付款不僅鼓勵了犯罪份子,也會激勵他們繼續進行攻擊。財政部明確表達它們反對受害者支付贖金的立場,也說支付贖金亦可能讓受害者面臨被制裁的風險。
