网络黑客团伙如何对全球医疗保健行业进行勒索勒索

　　

　　

　　几个月来，约翰·科约斯塔德和他的家人一直在为儿子的癌症手术做准备，但就在迪伦要去医院的前一天，他接到了一个电话，告诉他手术取消了。

　　电话那头礼貌的声音解释说，出现了“IT病理问题”，但当天下午晚些时候，科约斯塔德开始看到有关黑客攻击医院血液检测服务的新闻报道。

　　Kjorstad先生告诉《国家报》:“我当时想，‘哦，天哪，这就是它，我只是坐在那里试图消化它。

　　今年1月，迪伦被诊断出患有尤文氏肉瘤(一种骨癌)，本应在伦敦皇家布朗普顿医院接受手术切除肋骨上的肿瘤。

　　但由于Synnovis遭到勒索软件攻击，医院无法获得所需的血液。Synnovis是一家位于伦敦的公司，为英国国家医疗服务体系(nhs)提供病理服务。

　　一个自称“麒麟”的俄语组织声称对此次袭击负责。因此，大约1万个预约和1700个手术被推迟。

　　黑客使用恶意软件加密重要信息，使Synnovis的IT系统失效，然后下载敏感的患者数据。该团伙要求5000万美元来结束这次袭击。

　　“最糟糕的是，这实际上是对一个社会中最弱势群体的攻击，”现居英国的美国公民科约斯塔德表示。

　　“我认为他们不在乎是孩子还是老人。”

　　他说，迪伦并没有感到沮丧，尽管“这让他很困惑——为什么有人会攻击能阻止我做手术的东西?”

　　他们的活动是针对医疗机构的勒索软件攻击激增的一部分，犯罪分子越来越多地转向窃取大量患者数据作为赚钱的手段。

　　麒麟瞄准了Synnovis，该公司为伦敦的两家NHS信托机构——国王学院医院(King’s College Hospital)和盖伊与圣托马斯医院(Guy’s and St Thomas’s)提供病理服务。

　　在最初的攻击发生三周后，麒麟在没有收到任何赎金的情况下，在他们的暗网上倾倒了400GB的私人信息。

　　Synnovis是NHS信托和慕尼黑公司Synlab的合资企业，NHS表示，Synnovis已经重建了其核心IT系统，伦敦南部的一些全科医生测试服务可以恢复。

　　但这次袭击突显出，医疗保健系统越来越多地受到无情团伙的攻击，这些团伙非常清楚他们对该行业组织的影响力，对他们来说，这是一个生死攸关的问题。

　　美国医院协会(American Hospital Association)网络安全和风险国家顾问、前联邦调查局(FBI)反恐高级领导人约翰?里吉(John Riggi)在接受《国家报》(The national)采访时表示，他们越来越残忍，有理由将“这些行为归类为恐怖主义的一种形式”。

　　Synnovis正在向伦敦高等法院申请禁令，以阻止麒麟药业公布更多患者数据。法官同意对他们进行不公开审讯。

　　该公司还打算在电报(Telegram)和维基解密(Wikileaksv2)网站上发布命令。黑客曾利用电报发布数据，而维基解密曾在该网站上发表声明。

　　麒麟是谁?

　　麒麟运营着所谓的勒索软件即服务(Raas)，据信自2022年以来一直在运营。

　　据美国卫生与公众服务部(HHS)称，麒麟的目标是不同国家和行业的组织，包括教育、制造业以及医疗保健。

　　攻击发生在澳大利亚、加拿大、英国和美国等地。

　　HHS表示，在美国，麒麟攻击了牙科诊所、一家医疗通信公司、一家急诊医学专家、一家放射学公司、一家家庭医疗服务提供商、一家神经病学中心和一家心血管医学诊所。

　　在Raas模式下，黑客从运营商那里租用实施攻击所需的工具和基础设施。

　　作为回报，这些附属机构会返还一定比例的赎金。就麒麟而言，据信这一比例在10%左右。

　　可能会有支持，例如允许订阅者查看加密文件数量的门户，还可能包括全天候支持。

　　他们还经常通过暗网网站上的聊天功能与受害者协商。

　　网络安全公司Sophos的约翰·希尔(John Shier)表示，这些分支机构中的许多可能为不同的勒索软件品牌工作，比如LockBit和BlackCat，以及麒麟。

　　他解释说:“其中一些确实需要事先进行某种审查——可能是与品牌背后的一些负责人有过工作经验。”

　　“另一些人则非常喜欢，如果你有钱，你就可以买进去。有些团体更封闭，他们只是更多地处理人际关系。”

　　网络安全公司Secureworks负责威胁研究的副总裁唐?史密斯(Don Smith)在谈到麒麟时表示，“它的核心是一些从事这一行业已有一段时间的人”。

　　史密斯是英国国家犯罪局(National Crime Agency)国家网络犯罪部门战略网络产业小组(Strategic Cyber Industry Group)成员，也是英国国家网络咨询委员会(National Cyber Advisory Board)成员。他表示，发布在麒麟网站上的数据显示，受害者数量显示，今年的网络攻击活动大幅增加。

　　他说，他的“预感”是，麒麟黑客活动的增加与今年早些时候针对LockBit和Blackcat组织的执法行动相吻合。

　　他说:“他们可能是之前解散的组织的一部分，他们花了一段时间才把自己整理好。”

　　NCA将LockBit描述为“世界上最有害的网络犯罪集团”，并在5月份透露其领导人是俄罗斯人德米特里?霍罗谢夫(Dmitry Khoroshev)，后者已被英国、美国和澳大利亚列入制裁名单。

　　不健康的兴趣

　　麒麟对思诺唯的攻击是一种模式的一部分，这种模式导致医疗保健越来越多地成为勒索软件攻击的目标。

　　这些组织所持有的数据的庞大数量和敏感性，以及该行业数字化的极大扩展，包括互联医疗设备，为黑客提供了动机和机会。

　　Recorded Future威胁情报公司提供的数据显示，自2021年以来，勒索软件攻击从每年35个组织增加到2023年的350个，其中约一半发生在美国。

　　2021年，英国没有发生勒索软件攻击，但在2022年和2023年，这一数字分别增加到3次和4次。Recorded Future表示，今年到目前为止，已经发生了7起袭击事件。

　　根据网络安全公司北极狼(Arctic Wolf)的数据，每个医疗服务提供者的平均成本为1093万美元。

　　可以理解的是，组织不愿承认支付了赎金，但有消息称，处理账单支付的Change Healthcare支付了2200万美元，以夺回被黑客窃取的数据。

　　据Chainalysis估计，2023年有11亿美元的赎金被支付给了勒索软件，其中74%的赎金被与俄罗斯有关的黑客支付。

　　Saira Ghafur是伦敦帝国理工学院全球健康创新研究所的数字健康负责人，也是英国国家医疗服务体系的顾问。她说，对黑客来说，攻击医疗保健行业“可能会造成混乱”。

　　她说:“如果一家银行受到网络攻击，他们可以关闭银行，除了人们损失金钱之外，不会有什么真正的影响。”

　　“但如果你攻击的是医疗保健系统，那么我们就会看到预约、手术和扫描被取消。

　　“人们不知道发生了什么，护理被推迟了。对医疗保健的网络攻击有很多潜在的影响，它会造成这样的混乱。”

　　但随着医院自身在网络安全方面的投资，犯罪分子正越来越多地将注意力转向供应商。

　　今年早些时候，Synlab在意大利的一家子公司遭到黑客攻击，2023年在法国的一家子公司也遭到黑客攻击。

　　总部位于瑞士的血浆捐赠公司Octapharma在遭受勒索软件攻击后，被迫关闭了全球180个中心。

　　在英国，NHS IT服务提供商Advanced在2022年遭受勒索软件攻击后，因未能保护患者数据而被罚款760万美元。

　　在袭击期间，医生、护士和其他工作人员被迫用笔和纸来完成工作。

　　唐·史密斯说，NHS和其他医疗保健系统是由数百个不同规模的不同组织组成的，它们的碎片化性质使网络安全变得更加困难。

　　他说，随着银行投资保护自己，医疗保健成为勒索软件攻击的目标是“非常充分的理由”。

　　“是的，他们要遵守很多合规制度，他们要接受很多监管审查，他们在网络安全上花了很多钱。

　　“在医院，如果你手头有一英镑，你是一名医院管理人员，你需要做出艰难的决定——你是要把这笔钱花在前线护理上，还是花在网络安全上。”

　　英国国家医疗服务体系(NHS)使用的陈旧过时的IT系统也被强调为易受黑客攻击的一个原因。

　　英国医学协会的一份报告显示，由于系统和设备“不充分或故障”造成的延误，临床医生每年浪费了1300多万小时，相当于8000名全职医生，或10亿英镑。

　　“我们有很多遗留的基础设施，我们在网络安全方面的支出没有其他关键部门那么多，”加富尔博士说。

　　但她表示，在招聘方面，NHS正在“与私营部门竞争，后者可以提供我们的医疗服务负担不起的薪水”。

　　盖伊和圣托马斯NHS基金会信托告诉《国家报》，他们有一项正式的政策，以确保第三方供应商保持可接受的水平，并定期对这些安排进行审查。

　　“信托基金非常重视网络安全，这包括与第三方的安排。我们正在与合作伙伴密切合作，以充分了解这次袭击是如何发生的。”

　　已联系Synnovis请其置评。

　　在最尖锐的地方

　　Ed Dubrovsky通常只需要“几分钟”就能了解到他代表被勒索的客户进行谈判的黑客的数量。

　　这位网络安全资深人士告诉《国家报》，一些人可能对一个组织有详细的了解，以及它能支付多少钱，而另一些人则是“不那么聪明的人”，他们的要求可以降低。

　　杜布洛夫斯基与勒索软件组织打交道，这些组织侵入IT系统，对数据进行加密，然后要求支付赎金才能公布数据，并威胁说，如果他们的要求得不到满足，就会泄露数据。

　　他过去曾与麒麟打过交道，过去也曾代表一家医院工作，尽管他说他不知道Synnovis遭到攻击。

　　他表示，在针对医疗机构的攻击中，黑客试图利用这样一种认识，即讨价还价的结果会对现实生活产生影响。

　　“在网络安全领域，我们正在教授某些法则，其中最重要的一条是，人的生命基本上高于其他一切，”Cypfer网络安全首席运营官杜布洛夫斯基表示。

　　“通常，当你代表医院进行谈判时，首先这意味着他们陷入了困境。

　　“第二个意思是时间不是你的朋友，所以我们必须相当迅速地谈判。这意味着事情很紧急。因此，与他们谈判要困难得多。

　　“你也可能会让他们声称你因为不付钱而放慢了进度，正因为如此，你要对杀人负责。”

　　对于接收端的人来说，勒索软件攻击发生的第一个迹象通常是在系统上留下的笔记，上面描述了受害者与罪犯联系的方法。

　　虽然每个情况都不同，但组织被要求关闭其数字资产，以便对其进行分析，以确保不会造成更多损害，并且犯罪分子没有后门进入。

　　他说:“你拨打的不是1-800电话，接电话的是一位和蔼可亲的女士，她告诉你要多少钱才能恢复系统。”

　　“但通常情况下，我们现在看到的是，最流行的交流方式是在网站上聊天。”

　　受害者可以通过登录名和密码登录聊天页面，并提供用于支付赎金的比特币钱包的详细信息。

　　在最初关键的几分钟过去之后，一场猫捉老鼠的游戏开始了，因为每一方都开始建立对方所知道的东西。

　　杜布洛夫斯基解释说，犯罪分子通常会查看或搜索公司的财务信息，以及该公司是否有网络保险。

　　他们会利用这些细节来提出最初的要求，但谈判代表会撒谎，比如说，他们会说这笔钱存在某个组织的账户上，实际上是欠第三方的。

　　通常，如果有争议，谈判者会通过告诉对方打电话给银行来揭穿对方的虚张声势。

　　杜布洛夫斯基表示:“我的工作是很快弄清楚，这个威胁行为者认为这家公司可以支付的真实数字是多少，并真正迫使他们重新评估自己的立场。”

　　美国卫生与公众服务部表示，2023年，麒麟的典型赎金要求在5万至80万美元之间。

　　该组织的一名代表告诉彭博社，他们要求Synnovis支付5000万美元，以换取解锁受影响电脑的代码。

　　杜布洛夫斯基表示，通常情况下，附属公司开始通过建议他们转向电子邮件并开始夸大他们的要求来接管谈判。

　　在谈判过程中，黑客通常会提供试用解密，以证明他们的解密器可以正常工作。

　　杜布洛夫斯基表示，在聊天过程中，“一直都有一个折扣金额的计时器，如果计时器到期，他们要求的金额就会更高”。

　　尼克·沙阿(Nick Shah)是英国国家犯罪局(National Crime Agency)的前调查员，现在是一名勒索软件谈判专家。他表示，犯罪分子经常在自己掌握的数据上虚张声势。

　　他说:“我的职责是与威胁分子接触，获取更多情报和信息，评估局势。

　　“因为客户只有在了解更多信息或掌握更多信息后，才能真正对决策做出有价值的风险评估和判断。”

　　沙阿表示，他曾代表一家医疗行业客户进行谈判，最终获得了赎金。

　　“只是因为风险非常高，”他说。

　　不断超越自己

　　对里吉先生来说，令人担忧的是犯罪分子变得越来越大胆，袭击的数量呈上升趋势。

　　他说:“我发现勒索软件攻击的频率和严重程度都在显著增加，这对整个医疗保健行业产生了重大影响。”

　　前联邦调查局(FBI)探员里吉表示，今年年初发生在卢里儿童医院(Lurie Children’s Hospital)的袭击表明，犯罪分子已经变得“多么卑鄙”。

　　黑客入侵了这家总部位于芝加哥的机构的系统，导致其电子系统瘫痪，一些预约和选择性手术被推迟。

　　“你不能立即将儿科病人转移到其他医院，因为他们可能没有能力处理这些病人。

　　“因此，这不仅是对无辜儿童的袭击，而且还造成了严重的安全风险。”

　　里吉表示，在勒索软件的早期阶段，这些组织“在金额上更容易讨价还价，要求也更低”。

　　“但当他们意识到人们的生命处于危险之中，受害者更有可能付钱时，他们开始增加袭击的规模，”他说。

　　由于患者安全的压力，“受害者承受着恢复系统的巨大压力，不幸的是，这可能意味着支付赎金以获得解密密钥”。

　　“当医疗机构或任何勒索软件的受害者支付赎金时，当讨论和辩论还在继续时，支付赎金的决定从根本上讲是为了保护患者的安全，”他说，

　　他越来越担心，随着医院加强安全措施，黑客开始转向供应商。

　　里吉表示:“坏人已经转向关键任务的第三方——我们的供应链、我们的技术提供商、我们关键任务的服务提供商。”

　　“他们在继续挑战极限。”

　　唐?史密斯认为，犯罪分子可能更倾向于机会主义，他们会偶然发现医疗机构的漏洞，而不是一开始就专门寻找漏洞。

　　他说:“我只是不认为这是一个细节上的超级，在战术上控制了实施这些勒索软件攻击的组织。”

　　“我认为这是有组织犯罪团伙的压路机，他们试图赚尽可能多的钱。”

　　迪伦·科约斯塔德在手术被推迟一个月后终于进行了手术，他一直在伦敦大学学院的麦克米伦癌症中心接受强化治疗。

　　“我们可能是幸运的，”他爸爸说。

　　“我认为，由于他的诊断的严重性和他的年龄，他一直被给予最高的优先权，并得到了NHS所能提供的最好的照顾。”

　　与此同时，Kjorstad先生表示，NHS似乎正在努力提高人们对网络安全的认识。

　　“迪伦手术后，我和他在布朗普顿(医院)，他们所有的电脑屏幕上都有提醒人们如何保护网络安全的信息。我觉得这很有趣。”