医疗勒索攻击频次下降,零售业跃升头号目标
HackerNews 编译,转载请注明出处: 网络安全研究公司Comparitech的最新分析显示,2025年上半年,针对医疗保健行业的勒索软件攻击增长率(同比仅4%)远低于大多数其他行业。 Comparitech数据研究主管丽贝卡·穆迪(Rebecca Moody)指出,由于零售等其他行业正日益被视为更容易获利的目标,部分威胁行为者已转移了攻击重点。该公司追踪到2025年上半年医疗保健机构遭受了211起勒索软件攻击。相比之下,同期所有行业的勒索软件攻击平均增长率高达50%。 遭受攻击激增的行业包括技术业(85%)、零售业(85%)、法律服务业(71%)、运输业(66%)、制造业(64%)和政府机构(60%)。公用事业是唯一出现下降的行业(-31%)。 医疗行业受攻击率较低的原因 穆迪向Infosecurity表示,除了攻击者对零售业的兴趣增加外,医疗行业受攻击率较低还有多方面因素。她认为,2024年影响医疗服务的高调攻击事件(如美国医疗支付服务商Change Healthcare和英国NHS病理供应商Synnovis遭袭事件),可能促使整个医疗行业提升了网络安全意识并改进了防护系统。 穆迪还指出,攻击者出现新趋势:他们更倾向于瞄准医疗行业内不直接提供护理服务的企业,例如医疗器械制造商和制药公司。这使得黑客能通过单次攻击波及大量医疗提供商。“由于这类公司通常服务于大量医疗机构,它们掌握着庞大的数据库。因此,攻击这类企业可使黑客一次性瞄准多个组织及其数据。2025年1月Episource遭勒索攻击导致540万人数据泄露便是典型案例。” 但她同时警告,医疗行业仍是攻击者的关键目标,2025年迄今已发生多起严重事件。“正如本报告所发现,部分黑客(如INC和Medusa)仍在持续攻击医院等直接护理机构,并屡屡得手。针对这类机构的攻击可能会保持现有频率。” 医疗行业面临低于平均水平的赎金要求 该报告(发布于7月17日)指出,上半年医疗企业面临的赎金要求平均为47.9万美元。在已确认的攻击中,平均赎金要求更高,达60.8万美元。而其他行业的平均赎金要求则超过160万美元。 报告期内无任何机构确认支付赎金,但有10家实体表示拒绝了黑客的要求。Comparitech追踪到的上半年最高医疗赎金要求来自Medusa团伙:该团伙2月向英国独立护理集团HCRG Care Group索要200万美元。其次是Crazy Hunter团伙攻击台湾马偕纪念医院后索要的150万美元。 Comparitech指出,仅有少数勒索团伙会公开赎金要求数据,因此许多金额仍未知。在2025年上半年已知的24个赎金数据中,13个来自Medusa团伙。“目前像达维塔(DaVita)、Frederick Health和Kettering Health等重大攻击的赎金数额尚未披露。若未来公布,预计平均值将会上升。” 已确认泄露230万条医疗记录 在2025年1月至6月追踪到的211起医疗勒索攻击中,68起已获受害者公开确认。Comparitech发现这些确认事件导致超过230万条医疗相关记录泄露。 此期间最大的勒索相关泄露事件发生在2025年1月,Frederic Health遭攻击导致近100万患者记录泄露。上半年声称攻击医疗行业最多的勒索团伙是INC Ransom(声称34起,10起已确认),占该团伙同期总攻击声明的26%。其次是Qilin(声称25起,10起确认)、SafePay(14起)、RansomHub(13起)和Medusa(13起)。 从已确认泄露记录数量看,Qilin以55.5万条位居首位,SafePay以26万条紧随其后。在所有追踪事件中,约66%(139起)针对美国企业。澳大利亚(10起)和英国(7起)分列二、三位。 消息来源: infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
黑客组织利用 Ivanti 漏洞攻击多国关键组织
HackerNews 编译,转载请注明出处: 荷兰网络安全公司EclecticIQ披露,针对移动设备管理软件Ivanti Endpoint Manager Mobile(EPMM)漏洞的大规模恶意攻击活动已波及英国两家医疗机构。 此次攻击利用编号为CVE-2025-4427和CVE-2025-4428的两个漏洞进行组合利用,攻击者首先通过身份验证绕过漏洞(CVSS评分5.3)突破防线,随后利用远程代码执行漏洞(CVSS评分7.2)接管系统。 全球范围内包括英国、美国、德国、韩国等国家的多个组织遭受冲击,英国国家医疗服务体系(NHS)下属的伦敦大学学院医院NHS信托基金会和南安普顿大学医院NHS信托基金会成为重点目标。 根据Sky News获取的证据,攻击者已成功侵入这两家医疗机构的IT系统。EclecticIQ首席执行官Cody Barrow指出,此类攻击可能导致患者敏感数据外泄,包括员工电话号码、设备IMEI码及身份认证令牌等技术信息。不过NHS England向Infosecurity杂志表示,当前尚未发现患者数据遭窃取的直接证据,医疗业务仍正常运转。NHS网络运营中心正与英国国家网络安全中心(NCSC)密切协作,通过24小时监控体系和高危预警机制优先处置关键漏洞。 此次被利用的漏洞最早于5月13日由欧盟计算机应急响应小组(CERT-EU)向Ivanti报告,厂商在当天发布安全公告并推出修复补丁。网络安全公司WatchTowr于5月15日公开技术分析报告及漏洞利用验证代码后,推测可能涉及国家级支持的黑客活动。 针对医疗行业频发的供应链安全风险,Bridewell公司网络安全副总监Emran Ali强调,医疗机构作为患者数据的核心保管者,必须构建覆盖供应商管理、技术控制、事件响应的立体防御体系。Netskope威胁实验室最新报告显示,81%的医疗数据违规事件涉及受GDPR等法规保护的敏感信息,突显第三方软件漏洞带来的连锁风险。近期NHS要求技术供应商签署公开安全承诺书的举措,标志着医疗行业正推动建立更严格的技术供应链问责机制。 消息来源: infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Censinet 报告:医疗机构称网络攻击增加死亡率并延误病人治疗
根据网络安全公司Censinet赞助的一份新报告,在过去两年中遭受勒索软件攻击的医疗机构中,几乎有四分之一的机构表示,在网络攻击后他们机构的病人死亡率有所增加。这一发现增加了越来越多的数据,表明网络攻击不仅造成财务或后勤问题–它们也可能是重大的健康风险。 Censinet首席执行官兼创始人Ed Gaudet说:“勒索软件对病人护理的影响已经足够大,这是不可否认的。我们不应该害怕看这些数据,并继续推动这个问题的解决。” 由一家名为Ponemon研究所的研究机构进行的分析,收集了全美近600家医疗机构的调查回复,范围从区域医疗系统到医疗设备制造商。超过40%的机构说,他们在过去两年中受到了勒索软件的攻击–网络攻击锁定了计算机系统,并要求付款以解锁它们。这些攻击扰乱了设施照顾病人的能力。大约70%面临勒索软件攻击的机构表示,这些破坏导致病人住院时间延长,并延误了检测或手术。此外,36%的机构说他们看到了更多医疗手术的并发症,22%的机构说他们的死亡率增加了。 这些数字有一些重要的注意事项:它们来自一个相对较小的医疗机构子集,而且没有对这些机构报告的内容进行双重检查。该调查没有问各机构为什么或如何得出这些结论–例如,他们没有说他们如何衡量死亡率的变化。Gaudet说,如果没有关于这些方法的更多细节,谨慎地解释这些发现是很重要的。现在就自信地说勒索软件直接导致了这些频率的不良后果可能还为时过早。他说:“作为一个行业,我们必须注意不要反应过度。但这仍然是行业应该关注和关心的事情。即使只是百分之一或百分之五十,我们也应该关心这个数据。” 总的来说,超过一半的医疗集团在回复调查时表示,他们没有信心他们的组织能够处理勒索软件攻击的风险。 在医疗保健领域工作的人历来不愿意说勒索软件伤害了病人。很少有人对网络攻击和病人健康之间的关系进行量化,而且医院往往不愿意分享很多关于他们的经验的信息,因为这对医院的声誉有潜在影响。“我认为作为一个行业,这是一个我们几乎不想知道答案的问题,”Gaudet说。“因为如果它是真的,那么,我们真的有我们的工作要做了。” 在过去的一年里,针对医疗机构的网络攻击有所增加,这给这个问题带来了新的紧迫性。而且,最近一直在推动密切关注这个问题:例如,美国网络安全和基础设施安全局(CISA)的一项新分析显示,在COVID-19大流行期间,佛蒙特州受勒索软件攻击影响的医院开始比没有处理网络攻击的医院更快地出现过量死亡。 “我认为这已经达到了一个关键程度,正在引起CEO和董事会的注意,”Gaudet说。“像这样的数据将开始成为人们思考重点和投资领域的因素。如果勒索软件真的成为一个病人安全问题,他们将不得不解决这个问题。” (消息及封面来源:cnBeta)
新型勒索软件 Defray 瞄准教育医疗机构展开针对性网络钓鱼攻击
HackerNews.cc 8 月 27 日消息,网络安全公司 Proofpoint 研究人员近期在受攻击的 C&C 服务器中发现一款新型勒索软件 Defray,允许攻击者通过附带 Microsoft Word 文档的电子邮件发送至教育、医疗机构展开针对性网络钓鱼攻击。 据悉,研究人员于 8 月 15 日及 8 月 22 日分别观察到一起专门针对特定组织展开的网络攻击活动: 8 月 15 日,攻击者瞄准制造业与技术领域以 “ 订单/报价 ” 为主题发送包含嵌入式可执行文件( OLE 对象包装程序)的 Microsoft Word 文档进行恶意软件肆意传播。此外,该附件还引用英国水族馆标志诱导用户点击下载。 8 月 22 日,攻击者主要针对医疗与教育机构展开攻击活动,攻击操作与此前类似,即通过发送包含嵌入式可执行文件( OLE 对象包装程序)的 Microsoft Word 文档感染目标系统。另外,攻击者除了伪造医院信息管理与技术总监的身份发送钓鱼邮件外,还在邮件右上方设有英国医院标志作为诱饵,诱导用户点击查看。 研究人员表示,勒索软件 Defray 幕后黑手虽然要求受害用户支付 5000 美元赎金,但该票据包含多个电子邮件地址,或是为提供给受害用户在进行谈判或提问时使用。然而,值得注意的是,Defray 勒索软件主要针对硬编码的文件类型列表,不会更改文件扩展名。在加密完成后,Defray 勒索软件可能会通过禁用恢复功能或删除快照来对系统造成其他破坏。在 Windows 7 上,它则使用 GUI 来监视和关闭正在运行的程序,例如任务管理器和浏览器等。 目前,仅有两起针对性攻击活动已被证实,研究人员推测勒索软件可能作为一种恶意服务被网络犯罪分子私下使用,尽管它可能继续用于有限的针对性攻击,但短时间内也不会被大规模传播。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
全球医疗机构 2016 年向网络犯罪分子缴纳赎金高达 1 亿美元
据外媒 13 日报道,安全公司 McAfee 提供的一份报告显示,全球医疗机构于 2016 年被迫向网络犯罪分子支付赎金 1.21 亿美元(约合 9400 万英镑)。如今,黑客已将医疗机构视为当今科技环境下实现创收最有利可图的方式之一。 众所周知,医疗机构在更新安全补丁方面进展极其缓慢,部分原因是更新过程中一旦发生关键系统离线,后果将不堪设想。所以,多数医疗机构不愿更新 IT 基础设施,然而为了挽救患者生命,一般都会如数缴纳赎金找回数据,致使自身系统成为黑客袭击的 “ 软目标 ” 攻击对象。 上周末,随着全球勒索病毒的持续蔓延,英国国家医疗服务体系( National Health Service,简称 NHS )成为最大受害者,英国与苏格兰境内至少 45 家医院遭受勒索病毒攻击。据悉,NHS 成为黑客猎物很大程度上是因为 NHS 高达 90% 的医疗机构仍在使用微软已停止提供支持的 Windows XP 系统。此外,虽然此次袭击活动并未将 NHS 机构设为直接目标,但却着实在全球范围内造成一定影响。 原作者:Tareq Haddad,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
英国最大 NHS 信托医院感染恶意软件,电脑设备被迫离线
据外媒报道,上周恶意软件感染了英国最大 NHS 信托机构 “Barts Health” 的计算机系统,导致医院不得不关闭部分网络以防未识别的恶意软件更大规模扩散。 英国巴兹保健和国民信托( Barts Health NHS Trust )是英国最大的 NHS (英国国家医疗服务)信托机构,负责监测 Mile End 医院、纽汉大学医院、伦敦皇家医院、巴茨医院、伦敦胸科医院和 Whipps Cross 大学医院。 Barts Health 发言人证实已拔掉一些 IT 设备电源作为预防措施,而此前关于勒索软件大爆发的消息或有误传。目前病人的护理并没有受到影响,官方也已发布相关声明指出: 本月 13 日,Barts Health 意识到遭受了网络攻击、紧急启动调查程序,并使一些机器离线作为预防措施。当前确认 Cerner Millennium 患者管理系统和用于放射治疗的临床系统不受影响。相关部门也已制定应急方案尽一切努力确保患者护理不受影响。 Check Point 的北欧威胁预防负责人 Aatish Pattni 表示,电脑设备感染恶意软件可能是来自员工不小心点击电子邮件中的错误链接造成,又或者是黑客的针对性网络攻击导致。 英国国家医疗服务( NHS )医院很少感染恶意软件,但并不等于没有。Barts 本身也曾经是恶意软件的受害者,2008 年 11 月,Barts 三家医院的 PC 系统感染 MyTob 蠕虫被迫离线,甚至短暂扰乱了救护车路由器与医院管理系统的运行。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。
英国医疗机构感染勒索软件 Globe2 ,2800 份预约挂号被迫取消
据外媒报道,英国北林肯郡 & Goole NHS 基金会信托医疗机构正式发表声明证实,十月份医院 IT 系统感染勒索软件 Globe2 被迫停机四天,2800 个预约挂号被取消。 英国当地时间 12 月 5 号,医疗机构战略与规划总监 Pam Clipson 正式向外界证实,该机构多个系统在十月份感染了勒索软件 Globe2 ,安全部门为了彻底清除勒索软决定件将系统离线处理,任何潜在的被加密服务器都被关闭。大部分的系统在 48 小时内重新启动并再次运行。该负责人表示,患者的安全位于第一优先级,在系统检查期间,取消了约 2800 张预约。 最初机构认为勒索软件通过 USB 传播,但现在发现还存在远程入侵的可能性,调查现在仍在进行中。最后,负责人表示勒索软件 Globe2 感染的系统都已经清洗完毕,目前系统运行正常,并保证迅速采取行动提高现有的网络安全水平、支持警方的调查。 稿源:本站翻译整理,封面来源:百度搜索
黑客组织 “Shad0wS3C” 入侵墨西哥政府 IFREM 网站、泄露主数据库文件
黑客组织 “Shad0wS3C” 领导者 Gh0s7 称,已成功入侵墨西哥政府机构 IFREM 网站、获取了主数据库文件,包含用户数据、护照信息以及其他个人信息。黑客将部分信息公布到了网上。 IFREM (Instituto de la Función Registral del Estado México)是墨西哥注册功能研究所,旨在为公众提供相关法律和注册管理办法的办理流程。 黑客解释说,这次入侵网站并不是为了进行黑客行动主义,而是向世界展示他的团队 Shad0w Security (Shad0wS3C) ,Shad0wS3C 将再次回归人们的视野、更多的入侵事件将在未来几天公布。 黑客 Gh0s7 表示第一次入侵网站是在九月份,墨西哥政府并无“漏洞赏金计划” 因此没有将问题报告给该网站的管理员,此后 IFREM 也没有增加网站安全性防止进一步非法访问,最终导致黑客成功入侵。 稿源:本站翻译整理,封面来源:百度搜索