查看原文
其他

某三甲医院同时中“勒索病毒”和“挖矿木马”后,安恒这一波操作……

APT 安恒信息 2022-05-12



2017年至今,医疗行业已成为攻击者实施勒索的最主要目标,有29%的勒索软件的攻击目标是各类医疗相关机构。除勒索外,医疗业务资源被黑客滥用于挖矿,破坏企业内部IT环境、数据中心的正常运行秩序以及关键应用的交付。勒索、挖矿已经成为影响医疗业务连续性的主要威胁。


日前,安恒信息安服团队又接到了一通“救急call”……



医院服务器遭“勒索病毒”和“挖矿木马”入侵


据该三甲医院介绍,医院服务器疑似被勒索病毒、挖矿木马入侵,短时间内影响范围迅速扩大,已经造成医院相关业务瘫痪,挂号、就诊等出现延缓,患者无法正常看病治疗。需要及时核实问题,快速定位被感染的主机。


安恒服务人员第一时间到达现场,迅速开展对医院整体资产情况的评估,并按照医院的需求,建议在医院网络关键节点处部署安恒APT攻击(网络战)预警平台。APT攻击(网络战)预警平台能及时发现勒索者病毒和挖矿软件的投递过程,多维度、全方位发现失陷主机,对失陷主机横向扩散行为,以及变种样本包括新型的勒索者家族样本等均具备检测能力。


设备部署完成,接入流量后,实时关注风险类别,核实为恶意文件攻击和挖矿事件。同时,一旦有相关事件发生,查看风险详细信息,通过威胁情报、行为分析、勒索病毒样本检测等方式,定位感染了勒索病毒的主机,并进一步廓清横向扩散行为,隔离处理对应的资产



对于已感染的主机,将IP同步给安恒主机卫士EDR。EDR对主机进行病毒查杀,开启勒索防御,确保勒索病毒程序无法启动,当勒索病毒对文件尝试加密时会被EDR诱饵引擎捕获并阻止其加密行为。同时,EDR通过隔离来阻止勒索病毒在内网的扩散或者接收远程控制端指令,进一步对相应主机安装或更新漏洞补丁。



对因遭受勒索病毒造成医院中断而带来的间接损失,安恒信息还向医院提供了网络专项勒索保险。一款根据客户实际需求、产品使用场景,针对网络勒索风险,定制开发的保险产品。发生勒索事件后,对于聘请专业安全团队应急响应、系统升级加固发生的费用由保险公司负责赔偿;对于已被加密的主机,在通过技术无法立即解密且是重要文件的情况下,网络勒索保险可以先行支付等值赎金及时解决客户问题。



为何医疗行业易中招勒索病毒、挖矿木马?


在2018年,数字加密币彻底改变了病毒木马黑色产业,使勒索病毒和挖矿木马成为影响医疗行业网络安全的两大核心威胁。


为什么这两个病毒老盯着医院服务器呢?


因为,医院服务器存储的数据、运行的系统价值高,而且使用服务器挖矿的效率会大幅提高。因此,针对高价值的企业服务器的攻击就成为勒索病毒的首选目标。


(1)勒索病毒


勒索病毒,是2018年至今破坏性最强影响面最广的一类恶意程序,通常是通过恐吓、绑架用户文件或破坏用户计算机等方式,向用户勒索钱财。早期的勒索病毒通常是通过钓鱼邮件、社工等方式传播,通常传播规模量比较小,随着2017年黑客组织“方程式”工具泄露、“永恒之蓝”传播工具被大量利用,加之近年数字加密币的流行,勒索病毒感染正处于愈演愈烈的态势。


一方面,企业内网一旦有资产感染了勒索病毒,其常见文件等会被加密,且在内网中快速传播扩散,影响面大;另一方面,勒索病毒利用成本越来越低,而受益相对较高,在黑市上只要数百元便可获得勒索病毒,但勒索成功就可以获利数万元甚至更多,给企业造成不可估算的损失。


(2)挖矿木马


挖矿木马,是近年来兴起的网络安全威胁,2017年下半年开始进入普通用户的视野,而2018年开始流行。中挖矿木马的计算机,其计算机资源被大量占用用于数字加密币的挖掘。挖矿木马的流行一定程度上受数字加密币的价值影响。以最常见的比特币和门罗币为例,2017下半年比特币和门罗币价值暴涨,2018年下半年有下降,但价值仍高于2017年之前,所以整个2018年乃至2019年,勒索木马的流行趋势总体呈上涨趋势。


针对已经出现勒索现象的用户,建议尽快对资产进行检测,并对感染主机进行断网隔离。APT攻击(网络战)预警平台具备病毒检测能力,同时还可与EDR、防火墙等产品联动,通过隔离来阻止勒索病毒在内网的扩散或者接收远程控制端指令,进一步对相应主机安装或更新漏洞补丁。


安恒APT攻击(网络战)预警平台通过对网络双向全流量进行深度解析,基于丰富的特征库、全面的检测策略、智能的机器学习、高效的沙箱动态分析、海量的威胁情报,能实时发现网络攻击行为,特别是新型网络攻击行为,帮助用户发现网络中发生的各种已知威胁和未知威胁,检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的勒索病毒事件和挖矿事件。


安恒主机卫士EDR集成了丰富的系统防护、网络防护、Web应用防护、工具箱、批量配置、流量画像、定期巡检、病毒查杀、资产指纹等功能。通过自主研发的文件诱饵引擎,输出勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。





往期精选


围观

2019“草原云谷”大数据安全高峰论坛召开在即,亮点抢先看


热文

电子政务外网数据共享安全监测之道,关键是什么?


热文

如何构建“立体化”的视频监控网络安全防护体系?



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存