HackerNews 编译，转载请注明出处： 美国非营利医疗集团Covenant Health遭遇网络攻击，其运营的三家医院紧急关闭所有系统以控制安全事件影响。圣玛丽医疗系统公告称：“当前系统临时故障影响部分电话及病历系统，医疗服务仍在继续，但部分科室候诊时间可能延长”。新罕布什尔州圣约瑟夫医院则通知：“5月27日门诊实验室服务临时调整，仅主院区可接收持纸质检验单的患者”。 这家天主教背景的区域医疗集团在新英格兰地区运营多家医院、养老院及辅助生活机构。2025年5月26日爆发的网络攻击使其旗下医院、诊所全面断网，目前尚不确定是否涉及数据窃取或勒索软件。院方已聘请顶级网络安全专家介入调查，核心医疗服务仍维持运转，但部分系统及检验科室受到影响。 除圣约瑟夫医院外，缅因州两家医疗机构同样遭波及，院方建议患者按原计划就诊。“发现网络异常后，我们立即切断了所有医疗机构的数据系统访问权限，”集团发言人表示，“正全力保障正常医疗服务，患者可照常赴约，如有疑问请咨询主治医生办公室”。截至发稿，尚无勒索组织宣称对事件负责。 2025年美国医疗系统频遭网络攻击：3月RansomHouse团伙宣称窃取芝加哥洛雷托医院1.5TB敏感数据；4月Interlock勒索组织攻击肾脏透析巨头DaVita并泄露数据。据记录，2024年全美医疗机构遭遇98起勒索攻击，涉及1.17亿条记录，典型案例如Change Healthcare（1亿条）、波士顿儿童健康医生集团（90.9万条）等数据泄露事件。医院遭遇攻击后往往被迫启用纸质化应急流程。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Darktrace的新数据显示，针对医疗行业的网络攻击强度在2024年“显著上升”，该领域遭受的安全事件数量超过其他关键行业。该公司透露，去年共处理了45起影响医疗机构的网络安全事件，高于金融行业（37起）、能源行业（22起）、保险行业（14起）和电信行业（12起）。 医疗行业成为重点攻击目标的关键因素在于其高价值属性。Darktrace指出，全球范围内医疗数据泄露造成的损失高于任何其他行业，在2020年至2024年间平均达到1000万美元。Darktrace首席网络分析师Nicole Wong表示：“医疗成为最受攻击的行业之一符合我们长期观察的趋势，但2024年的攻击强度明显加剧。医院和医疗服务机构存储着大量患者个人敏感数据，这使它们成为数据泄露、勒索软件和其他网络攻击的主要目标。” 她还补充道：“患者信息的敏感性加上关键服务可能中断的风险，构成了攻击者的高价值目标。此外，医疗作为国家关键基础设施的重要性，使其特别吸引基于国家利益的政治动机威胁行为者。” 关于攻击者如何入侵医疗系统，新报告强调钓鱼攻击（32%）和边缘基础设施漏洞利用（36%）合计占医疗系统入侵事件的三分之二以上，其余包括暴露端口、配置错误和淘汰设备漏洞利用。Wong表示这与其他行业的攻击模式类似。 值得注意的是，75%的医疗网络入侵事件仅限于企业邮箱或云账户入侵，并未升级为勒索软件或数据窃取。报告指出：“这反映出APT组织典型的多阶段攻击模式，意味着针对医疗行业的威胁行为者整体能力有所提升，安全团队需做好应对准备。” 研究人员观察到钓鱼攻击对医疗行业的针对性增强。例如，三分之一的攻击针对VIP用户，表明威胁行为者正重点关注拥有更高访问权限或决策权的个体。此外，Darktrace发现2024年“相当比例”的钓鱼邮件要么冒充供应商，要么来自已被入侵的供应商账户。Darktrace高级网络分析师Nahisha Nobregas表示：“这种演变令人担忧，因为它利用了医疗机构与供应商之间的信任关系，由于通信看似来自合法商业伙伴，检测难度显著增加。” 在漏洞利用方面，Darktrace事件数据显示攻击者频繁利用Citrix、思科、Fortinet和Ivanti等厂商的边缘基础设施设备漏洞。受影响的医疗机构类型从设备供应商到非重症护理机构均有涉及。 研究人员警告称，医疗机构的攻击面正在扩大，为威胁行为者创造了更多机会。这包括云服务使用增加导致的SaaS覆盖范围扩大、更多第三方设备和服务的整合，以及医疗物联网（IoMT）设备的增长。Darktrace举例称，曾检测到一台感染PurpleFox rootkit和DirtyMoe恶意软件的数字成像设备，表明专用医疗设备已成为另一个易受攻击的操作系统载体。在此案例中，攻击者似乎无意窃取受保护的健康信息，而是试图将该设备作为渗透网络的跳板。 Darktrace高级网络分析师Patrick Anjos警告：“这一发现凸显了防御者需要像监控IT基础设施中的其他设备一样持续监控临床设备。必须将安全监控范围从传统IT系统扩展到专用医疗设备。”       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文    

现阶段，越来越多网络犯罪分子将勒索攻击目标转向医疗卫生部门。本文梳理了一些网络安全保障措施，希望能够为医疗行业网络安全建设带来一些帮助。 加强电子邮件安全 医疗卫生机构应该为各种电子邮件传播设置多个防御层，一个好的电子邮件安全解决方案应该在第一道防线就能够检测到多个恶意信号（恶意 IP、可疑 URL、隐藏的恶意软件文件等）。 此外，培训员工识别恶意电子邮件很有必要，但要明确一下，真正发现明显攻击迹象时，员工不应首当其冲地承担责任。此外，培训应侧重于适当政策的重要性，例如通过电子邮件以外的第二个渠道确认付款和转账。 设置复杂的登录密码和凭据 目前，大多数网络攻击的目标是获取登录凭据，许多网络攻击者专门向他人出售用户信息。Trustwave SpiderLabs 团队调查发现，大量的登录凭证和浏览器记录被盗，从而可以访问暗网市场上宣传的医疗设施。 因此员工应该使用复杂的登录密码，医疗机构在后台存储密码时，也必须确保使用相对安全的密码哈希算法，在整个组织内优先实施双因素身份验证。 提高网络安全意识 发现并阻止网络攻击的责任不应该由普通医疗人员来承担，但一支训练有素的员工队伍可以有效的避免网络安全危险。 当前的安全培训往往局限于一些硬性规定的研讨会，但这对提高意识没有什么作用。相反，医疗机构应考虑更深入的演习，复盘勒索软件攻击等严重安全事件，这样才有助于决策者在巨大压力下做出快速正确的决定。 为勒索软件攻击做准备 众所周知，勒索软件对任何行业都是一种巨大威胁，其中医疗保健行业更是及其容易受到其破坏性影响。一个“瘫痪”的 IT 网络不仅仅意味着医疗机构数据或生产力出现问题，如果数据和设备一旦被长时间锁定，患者的生命可能会受到威胁。 基于此，“黑心”的网络犯罪分子期望医疗机构为尽快回复系统而屈服并立刻付款。另外，网络攻击者还会窃取大量的医疗数据，出售给暗网买家，获得额外利润。一个强大的电子邮件安全系统可能会阻止大多数恶意电子邮件，医疗组织应该对此做好详尽准备。一只具有管理检测和响应（MDR）能力的网络威胁搜索团队将有助于快速识别和阻止勒索软件，以减少其影响。 保护好扩展的物联网网络 支持物联网（IoT）的设备在帮助医疗服务提供商实现远程工作自动化和便利化方面发挥了巨大的作用。但是如果没有适当的监控和修补，这些连接的设备也可以为威胁行为体提供一条简单的攻击路径。 医院可能会在其设施中部署数百台设备，因此保持所有设备的更新和修补可能是一项非常耗费资源的任务。此外，许多医疗机构还需要努力适应更新重要设备所需的停机时间，自动化设备更新过程将更容易保护设备的安全。 医疗机构在购买医疗设备时应该审查，以确保它们具有关键的安全功能，并可用于维护和更新。 供应链风险 医疗卫生机构处于极其庞大复杂供应网络的中心，需要承接上下游的医疗材料、硬件和设施维护的供应商等。 这些供应商往往有很大程度的网络连接或数据访问，使其成为威胁攻击者黑进医疗机构网络的主要目标。如果一个被信任的托管或管理其数据的公司受到攻击，医疗机构也可能成为二次伤害者。 医疗机构可以通过审查所有第三方连接的安全级别，尽量减少供应链风险，通过公开的信息实现，如 DNS 服务器配置和向互联网开放的不安全端口（如MS-TERM-SERV、SMB等），而不需要侵入性网络扫描。 定期攻防演练 网络安全从来都不是一件简单的事情。即使有了正确的解决方案，员工也经过了良好的培训，流程也无懈可击，但最重要的是要不断测试防御并寻找改进方法。 定期漏洞扫描对于跟上不断变化的IT和网络威胁形势至关重要。应用程序和网络渗透测试将进一步利用经验丰富的安全人员的聪明才智，寻找可以发现和利用的漏洞。 大型医疗服务提供商（如医院）也可能考虑进行物理渗透测试，以确定其设施的IT基础设施是否容易受到入侵者的攻击。 转自 Freebuf，原文链接：https://www.freebuf.com/news/347376.html 封面来源于网络，如有侵权请联系删除