FBI、CISA 和美国财政部警告说,朝鲜政府资助的黑客正在使用勒索软件攻击美国各地的医疗保健和公共卫生部门组织。
在周三发布的联合公告中,美国政府机构表示,他们观察到朝鲜支持的黑客至少从 2021 年 5 月开始部署 Maui 勒索软件,以加密负责医疗保健服务的服务器,包括电子健康记录、医学成像和整个内部网。
“联邦调查局评估朝鲜国家支持的网络攻击者已经针对医疗保健和公共卫生部门组织部署了 Maui 勒索软件,”该咨询报告写道。 “朝鲜国家支持的网络行为者可能认为医疗保健组织愿意支付赎金,因为这些组织提供对人类生命和健康至关重要的服务。由于这一假设,联邦调查局、中央情报局和财政部评估朝鲜国家支持的行为者可能会继续针对 [医疗保健] 组织。”
该公告指出,在 FBI 观察和响应的许多事件中,毛伊岛勒索软件“长期”造成医疗保健服务中断。
2022 年 4 月上旬,Maui 最初是由 Stairwell 发现的,这是一家威胁追踪初创公司,旨在帮助组织确定他们是否已被入侵。在对勒索软件的分析中,Stairwell 首席逆向工程师 Silas Cutler 指出,Maui 缺乏许多勒索软件即服务 (RaaS) 提供商的工具中常见的功能,例如嵌入式赎金票据或向攻击者传输加密密钥的自动方式。相反,Stairwell 的结论是 Maui 很可能是在受害者的网络中手动部署的,远程操作员针对他们想要加密的特定文件。
朝鲜长期以来一直使用窃取加密货币的行动为其核武器计划提供资金。 Mandiant Intelligence 副总裁 John Hultquist 在一封电子邮件中表示,因此对于朝鲜政权来说,“勒索软件是轻而易举的事”。
“鉴于自 COVID-19 出现以来这些行为者对该领域的关注,针对医疗保健的勒索软件攻击是一个有趣的发展。演员通过访问可能最初作为网络间谍活动的一部分而获得的访问权并不少见,”Hultquist 说。 “我们最近注意到,朝鲜行为者已将重点从医疗保健目标转移到其他传统的外交和军事组织。不幸的是,由于中断的严重后果,医疗保健组织也非常容易受到此类勒索的影响,”他补充说。
该公告还包括攻击指标 (IOC) 以及这些攻击中采用的策略、技术和程序 (TTP) 信息,以帮助网络防御者,敦促医疗保健行业的组织通过限制对数据的访问、关闭网络设备管理接口,并通过监控工具观察物联网设备是否被入侵。
“联邦调查局与我们的联邦合作伙伴一起,在打击朝鲜对我们医疗保健部门的恶意网络威胁方面保持警惕,”联邦调查局网络部门助理主任布莱恩·沃恩德兰说。 “我们致力于与我们的私营部门合作伙伴共享信息和缓解策略,以帮助他们加强防御并保护他们的系统。”
美国政府的最新警告是在针对医疗保健组织的一连串备受瞩目的网络攻击之后发布的;南内华达大学医学中心于 2021 年 8 月遭到勒索软件攻击,该攻击破坏了包含受保护健康信息和个人身份信息的文件,Eskenazi Health 在 10 月表示,网络犯罪分子可以访问他们的网络近三个月。上个月,Kaiser Permanente 证实,一名员工的电子邮件帐户遭到破坏,导致70,000 份患者记录被盗。
原文: https://techcrunch.com/2022/07/06/fbi-north-korea-targeting-healthcare/