美聯(lián)邦調(diào)查局（FBI）、網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局（CISA）和財政部（DoT）近日警告稱，有朝方背景的黑客組織，正在利用勒索軟件向美國各地的醫(yī)療保健機構(gòu)和公共衛(wèi)生部門發(fā)起攻擊。在周三發(fā)布的聯(lián)合公告中，美政府機構(gòu)指出，其發(fā)現(xiàn)相關(guān)黑客活動至少可追溯至 2021 年 5 月開始部署的 Maui 勒索軟件。

截圖（來自：CISA 網(wǎng)站）

據(jù)悉，受害醫(yī)療保健機構(gòu)的服務(wù)器資料會被加密，并波及電子健康記錄、醫(yī)學(xué)成像和整個內(nèi)網(wǎng)。

該咨詢報告寫道：

聯(lián)邦調(diào)查局評估發(fā)現(xiàn)有朝方背景的網(wǎng)絡(luò)攻擊者，針對醫(yī)療保健機構(gòu)和公共衛(wèi)生部門部署了 Maui 勒索軟件。

推測黑客認(rèn)為醫(yī)療保健組織愿意支付贖金，畢竟這些組織提供了對人類生命和健康至關(guān)重要的服務(wù)?；谶@一假設(shè)，F(xiàn)BI、CIA 和財政部評估有朝方背景的黑客，可能會繼續(xù)發(fā)起針對相關(guān)醫(yī)療保健組織機構(gòu)的攻擊。

公告還指出，在 FBI 觀察到并介入相應(yīng)的諸多事件中，在毛伊島爆發(fā)的勒索軟件攻擊對當(dāng)?shù)蒯t(yī)療保健服務(wù)造成了長期的中斷困擾。

2022 年 4 月上旬，威脅搜尋初創(chuàng)企業(yè) Stairwell 率先曝光了此事，并努力幫助組織機構(gòu)確定其是否已被入侵。

分析期間，Stairwell 首席逆向工程師 Silas Cutler 指出 —— 這里缺乏許多常見于勒索軟件即服務(wù)（RaaS）提供商的工具功能。

這種反常的現(xiàn)象，最終讓他們推斷 Maui 很可能是在受害者網(wǎng)絡(luò)中手動部署、然后遠程操作者針對其想要的特定文件進行了加密。

此前很長一段時間，我們已經(jīng)多次聽到過類似的報道。Mandiant Intelligence 副總裁 John Hultquist 亦在一封電子郵件中表示，這種情況對他們來說可謂是輕車熟路。

自 COVID-19 大流行以來，針對醫(yī)療保健行業(yè)的勒索軟件攻擊也呈現(xiàn)出了一個有趣的發(fā)展。

惡意行為者最初可能將網(wǎng)絡(luò)間諜活動作為一個突破口，但近期有留意到攻擊者的重點目標(biāo)已轉(zhuǎn)向其它傳統(tǒng)的外交和軍事組織。

不過從業(yè)務(wù)中斷產(chǎn)生的后果來看，醫(yī)療保健組織依然非常容易受到此類勒索的影響。

最后，這份 CISA 聯(lián)合公告提到了相關(guān)攻擊指標(biāo)（IOC）、技術(shù)策略和程序（TTP）等信息，以幫助相關(guān)組織機構(gòu)有效落實網(wǎng)絡(luò)安全防護政策。

比如限制對數(shù)據(jù)的訪問、關(guān)閉網(wǎng)絡(luò)設(shè)備管理接口，并通過監(jiān)控工具觀察物聯(lián)網(wǎng)設(shè)備是否有被入侵等。