其他
全球医疗机构因勒索软件攻击累计停机超7千天,造成经济损失920亿美元
关注我们
带你读懂网络安全
全球医疗保健组织因遭受勒索软件攻击停机而承受的业务中断总计7381天,相当于20多年;
有研究发现20个不同行业的平均每分钟停机成本估算为8662美元,以此计算,医疗保健组织仅因系统停机就损失了超过920亿美元。
前情回顾·勒索软件大爆炸
重要发现
2018年初至2022年10月期间,我们在研究中发现:
共有500起针对医疗机构的勒索软件攻击;其中2021年攻击数量最多,共发生166起。 共12961家独立医院/诊所/组织可能受到攻击影响。 攻击至少影响到4884万7107份个人病历,其中接近半数(约2000万份)来自2021年。 赎金要求从900美元到2000万美元不等。 我们估计,黑客索取的赎金总额已超过12亿美元。 我们估计,受害者已向黑客支付了近4400万美元赎金。 勒索攻击造成的停机时间从几小时到七个月(期间系统无法满负荷运转)不等。 攻击引发的平均停机时间从2021年和2022年开始急剧增加,分别为19.5天和16天。 全球勒索软件引发的医疗机构停机总成本估计为920亿美元。 Conti、Pysa、Maze、Hive和Vice Society成为占比最高的几种勒索软件毒株,前三种在2020/2021年间占据主导地位,后两种在2021/2022年间占主导地位。
针对医疗保健组织的
逐年/逐月勒索软件攻击统计
如前文提到,2021年是医疗保健组织遭受勒索软件攻击最严重的一年,占自2018年以来整个采样周期内所有攻击的33%(166起)。2020年同样占比不小,共发生137起攻击。这两年恰逢新冠疫情大爆发。由于医疗机构运营压力巨大、资源捉襟见肘,恶意黑客也找到了趁虚而入的方法,例如疲惫的员工们更难发现包含勒索软件的网络钓鱼邮件。2022年起,针对医疗保健组织的勒索软件攻击有所减少,截至10月底共83起。虽然数量较少,但预计这一数字在未来几个月内又会重新上升,因为不少攻击是在发生几个月后才被公开上报(例如当黑客已经对外公布数据,或向受影响患者发出通告时,相关机构才被迫承认)。攻击数量:
2022年(截至10月)— 83起 2021年 – 166起 2020年 – 137起 2019年 – 78起 2018年 – 36起
2022年(截至10月)— 535万1462份 2021年 – 2000万8774份 2020年 – 488万9336份 2019年 – 1802万7346份 2018年 – 57万189份
2022年(截至10月)– 16.1天 2021年 – 19.5天 2020年 – 12.3天 2019年 – 13.3天 2018年 – 2.6天
2022年(截至10月)– 514天 (32起事件) 2021年 – 974天(50起事件) 2020年 – 394天(32起事件) 2019年 – 279天(21起事件) 2018年 – 13天(5起事件)
2022年(截至10月) – 1334天 2021年 – 3232天 2020年 – 1685天 2019年 – 1037天 2018年 – 94天
2022年(截至10月) – 166亿美元 2021年 – 403亿美元 2020年 – 210亿美元 2019年 – 129亿美元 2018年 – 117亿美元
勒索软件攻击对医疗机构
造成的真实成本
不同攻击事件提出的赎金数额往往存在很大差异,统计数字发现赎金最低可至900美元(法国伊苏丹的Centre Hospitalier de la Tour Blanche à Issoudun医疗中心于2019年上报),最高则达到2000万美元(由爱尔兰健康服务局于2021年上报)。造成这种差异的原因,可能是因多数组织并未透露赎金要求(特别是决定屈服、向黑客支付赎金的组织),所以抽样结果不足以反映整体趋势。只有40起事件报告中给出的赎金数字。除以上提到的爱尔兰健康服务局外,其他赎金数字巨大的事件还包括:
以色列Hillel Yaffe医疗中心——1000万美元:2021年10月,黑客向以色列Hillel Yaffe医疗中心勒索1000万美元。该中心拒绝付款,整个恢复周期持续了约一个月。 法国Le Centre Hospitalier Sud Francilien——1000万美元:法国CHSF在2022年8月收到1000万美元赎金要求。LockBit团伙随后将赎金要求减少至100万美元,但截至本文撰稿时,受害方仍未付款。目前距离服务中断已过去三周,预计将在11月内全面恢复。 美国UF Health Central Florida——500万美元:虽然尚未确认受害方是否支付了赎金,但院方已经提交一份涉及70万981名患者的数据泄露报告,这似乎表明其没有屈服于黑客的压力。
2022年(截至10月) – 188万7058美元 2021年 – 579万2857美元 2020年 – 69万624美元 2019年 – 38万6067美元 2018年 – 19400美元
2022年(截至10月)– 1887万美元(10起事件) 2021年 – 4055万美元(7起事件) 2020年 – 414万美元(6起事件) 2019年 – 463万美元(12起事件) 2018年 – 97000美元(5起事件)
2022年(截至10月)– 13%(16起事件中,有2起支付了赎金) 2021年 – 9%(35起事件中,有3起支付了赎金) 2020年 – 26%(38起事件中,有10起支付了赎金) 2019年 – 30%(40起事件中,有12起支付了赎金) 2018年 – 36%(14起事件中,有5起支付了赎金)
2022年(截至10月)– 1.566亿美元 2021年 – 9.616亿美元 2020年 – 9460万美元 2019年 – 3010万美元 2018年 – 69万8400美元
2022年(截至10月)– 2140万美元 2021年 – 无法确认支付赎金总额 2020年 –1930万美元 2019年 – 270万美元 2018年 – 38万5714美元
针对医疗机构的勒索软件攻击
仍是一大突出威胁
尽管2022年针对医疗保健组织的勒索攻击数量有所下降,但这并不代表威胁程度有所降低。可以看到恶意黑客提出的赎金数字和造成的停机时间愈发可观,而且黑客可能也在选取更具针对性的攻击方法,确保用更广泛的破坏力提升收到赎金的机率。此外,针对系统进行加密锁定和数据窃取的“双重勒索”也愈发多见。即使受害实体能够利用备份快速恢复系统,恶意黑客仍然掌握着大量病患私人数据,足以强迫企业选择接受谈判。而且即使企业方最终拒绝支付赎金,出售这些数据也可能给黑客带来巨额利润。勒索软件攻击有所减少的另一个原因(此趋势在美国乃至全球各行业均有体现)在于,组织对于遭受攻击的态度越来越“低调”。随着人们对勒索攻击认知的增加,受影响实体不太愿意以坦诚的态度上报此类事件。这一方面源自遭受勒索软件攻击带来的耻辱感,另外也是担心会在未来招致更多攻击。
研究方法
从勒索软件攻击图谱中的数据来看,我们在研究中共发现了500起针对医疗保健组织的勒索软件攻击。结合数据内容,我们最终估算出了赎金总额、是否支付赎金以及造成的停机时间。对于未给出具体停机数字的事件,例如“数日”、“一个月”或“六周后已恢复至80%”,我们会根据数字的下限进行估算。例如,“数日”计为3天,“一个月”计为攻击发生当月的总天数,“六周后已恢复至80%”则直接计为六周。对于受勒索攻击事件影响的组织,我们将其整理为17种具体类型,定义如下:
学术性医院 救护服务 诊所:提供全方位医疗保健服务的诊所 诊所网络:由多家诊所组成的体系,提供全方位的医疗保健服务 牙医诊所:提供牙科保健服务的诊所 政府卫生部门:受健康相关数据泄露影响的一般政府部门/实体,例如人类卫生服务部/州政府 家庭/老年护理:包括在当地社区提供社会服务的组织 医院 医院网络:由多家医院组成的体系,提供全方位的医疗保健服务 实验室:以医疗健康为基础的实验室业务 心理健康:为成瘾性等精神疾病提供支持的服务机构 验光诊所:提供眼科保健服务的诊所 药房:专门提供药品的组织/网络 康复服务 医疗研究机构 专科诊所:面向特定医疗保健领域的诊所,例如内科诊所或康复中心 专科诊所网络:同上,但拥有多家诊所/多个运营地点
参考资料:comparitech.com
推荐阅读