黑客在冠狀病毒大流行期間使用勒索軟件鎖定關(guān)鍵醫(yī)療設(shè)施
由于世界各地的醫(yī)院都在努力應(yīng)對冠狀病毒危機(jī),網(wǎng)絡(luò)犯罪分子一直以勒索軟件和惡意信息竊取者為目標(biāo),不斷瞄準(zhǔn)醫(yī)療保健組織,研究機(jī)構(gòu)和其他政府組織。
這項由Palo Alto Networks發(fā)布并與The Hacker News分享的新研究證實,“從網(wǎng)絡(luò)犯罪中獲利的威脅行為者將在任何程度上發(fā)揮作用,包括以最前沿的組織為目標(biāo)并每天對這種流行病做出反應(yīng)。”
雖然該安全公司沒有透露最新受害者的名字,但它表示,加拿大犯罪組織試圖利用這場危機(jī)謀取經(jīng)濟(jì)利益,因此加拿大政府醫(yī)療機(jī)構(gòu)和加拿大醫(yī)學(xué)研究大學(xué)均遭受了勒索軟件攻擊。
攻擊是在3月24日至3月26日之間檢測到的,是作為以冠狀病毒為主題的網(wǎng)絡(luò)釣魚活動的一部分而發(fā)起的,該活動在最近幾個月中已廣泛傳播。
帕洛阿爾托網(wǎng)絡(luò)(Palo Alto Networks)的披露是在過去幾周遭受網(wǎng)絡(luò)攻擊的美國衛(wèi)生與公眾服務(wù)部(HHS),生物技術(shù)公司10x Genomics,捷克布爾諾大學(xué)醫(yī)院以及哈默史密斯醫(yī)學(xué)研究公司所遭受的。
通過利用CVE-2012-0158交付勒索軟件
根據(jù)研究人員的說法,這場運動始于從模仿世界衛(wèi)生組織(noreply @ who [。] int)的欺騙性地址發(fā)送的惡意電子郵件,這些電子郵件被發(fā)送給與積極參與COVID-19的衛(wèi)生保健組織相關(guān)的許多個人響應(yīng)努力。
電子郵件誘使包含名為“ 20200323-sitrep-63-covid-19.doc ” 的富文本格式(RTF)文檔,該文檔在打開時試圖通過利用已知的緩沖區(qū)溢出漏洞(CVE-2012-0158)來提供EDA2勒索軟件。),位于MSCOMCTL.OCX庫中的Microsoft的ListView / TreeView ActiveX控件中。
“有趣的是,即使文件名清楚地指明了一個特定的日期(2020年3月23日),該文件名也沒有在活動過程中進(jìn)行更新以反映當(dāng)前日期,” Palo Alto Networks研究人員指出。
“有趣的是,惡意軟件作者沒有試圖以任何方式使他們的誘餌看起來合法;從文檔的第一頁可以明顯看出有問題。”
執(zhí)行后,勒索軟件二進(jìn)制文件與命令和控制(C2)服務(wù)器聯(lián)系,以在受害者的設(shè)備上下載用作主要勒索軟件感染通知的映像,然后傳輸主機(jī)詳細(xì)信息以創(chuàng)建自定義密鑰以加密文件。系統(tǒng)桌面,擴(kuò)展名為“ .locked20”。
除了接收密鑰之外,受感染的主機(jī)還使用HTTP Post請求將使用AES加密的解密密鑰發(fā)送到C2服務(wù)器。
Palo Alto Networks根據(jù)二進(jìn)制文件的代碼結(jié)構(gòu)以及勒索軟件的基于主機(jī)和基于網(wǎng)絡(luò)的行為,確定了勒索軟件病毒株為EDA2。EDA2和Hidden Tear被認(rèn)為是為教育目的而創(chuàng)建的首批開源勒索軟件之一,但此后被黑客濫用以追求自己的利益。
勒索軟件事件中的峰值
勒索軟件攻擊是與大流行相關(guān)的其他網(wǎng)絡(luò)攻擊增加的結(jié)果。其中包括大量的網(wǎng)絡(luò)釣魚電子郵件,這些電子郵件試圖利用危機(jī)說服人們單擊將惡意軟件或勒索軟件下載到其計算機(jī)上的鏈接。
此外,Check Point Research的2020年第一季度品牌網(wǎng)絡(luò)釣魚報告指出,由于人們在手機(jī)上花費更多時間來獲取與爆發(fā)和工作有關(guān)的信息,因此手機(jī)網(wǎng)絡(luò)釣魚的數(shù)量激增。發(fā)現(xiàn)攻擊者模仿了Netflix,Airbnb和Chase Bank等熱門服務(wù)來竊取登錄憑據(jù)。
由于醫(yī)院持續(xù)受到時間的限制和大流行帶來的壓力,黑客指望這些組織支付贖金以恢復(fù)對關(guān)鍵系統(tǒng)的訪問并防止中斷患者護(hù)理。RisKIQ
發(fā)布的報告上周發(fā)現(xiàn),2016年至2019年期間,對醫(yī)療設(shè)施的勒索軟件攻擊上升了35%,在127起事件中,平均勒索需求為59,000美元。這家網(wǎng)絡(luò)安全公司表示,黑客還偏愛小型醫(yī)院和醫(yī)療中心,其原因包括精簡的安全支持,增加的注意可能性和贖金要求等。
針對醫(yī)療部門的勒索軟件攻擊激增,促使國際刑警組織發(fā)出對成員國威脅的警告。
該機(jī)構(gòu)說:“網(wǎng)絡(luò)犯罪分子正在使用勒索軟件以數(shù)字方式扣押醫(yī)院和醫(yī)療服務(wù),從而阻止他們訪問重要的文件和系統(tǒng),直到支付贖金為止。”
為了保護(hù)系統(tǒng)免受此類攻擊,國際刑警組織警告組織要警惕網(wǎng)絡(luò)釣魚企圖,加密敏感數(shù)據(jù)并進(jìn)行定期數(shù)據(jù)備份,除了將它們離線存儲或存儲在其他網(wǎng)絡(luò)上以阻止網(wǎng)絡(luò)犯罪分子。
面對不法分子以疫情名義發(fā)起的網(wǎng)絡(luò)釣魚攻擊,普通大眾應(yīng)提高警惕、加強(qiáng)防范,不給攻擊者以可乘之機(jī),重點應(yīng)遵從 “四不要”:
- 不要輕易點擊或者下載郵件、自媒體平臺、即時通訊工具等渠道中與新型冠狀病毒相關(guān)的鏈接、可執(zhí)行程序或者文件。
- 不要輕易在鏈接站點中輸入個人賬戶、密碼、金融賬戶等敏感信息或進(jìn)行支付交易。
- 不要禁用殺毒軟件的更新功能,應(yīng)及時更新殺毒軟件。
- 不要在非正規(guī)渠道進(jìn)行捐款。
信息安全與我們的日常生活息息相關(guān),在疫情這種特殊時期,個人應(yīng)提高對于自身信息安全的保護(hù)意識,企業(yè)應(yīng)依法收集及使用個人信息,各大金融機(jī)構(gòu)在陸續(xù)復(fù)工的同時,需遵守法律規(guī)制、監(jiān)管條例以及相關(guān)技術(shù)標(biāo)準(zhǔn)等,確保在特殊時期不會被不法分子乘虛而入。
