Clop 勒索病毒再度威胁医疗行业

重点摘要

根据克洛普（Clop）勒索病毒组织对最近大规模网络攻击的宣称，卫生与公共服务部再次呼吁各单位加强对新策略的防御。此次攻击利用了 FortraGoAnywhere MFT 中的零日漏洞，导致超过 130 个组织受到影响，包括田纳西州的社区健康系统。一百万多名患者的个人和健康信息遭到泄露。

克洛普宣称在 10天内实施了针对这些组织的攻击，并声称能通过部署勒索软件来加密受影响的医疗系统。虽然该组织的这些主张未得到验证，但其对医疗行业的影响显而易见。

Fortra 早在 2月初就警告客户关于这一远程代码执行漏洞，并在修补程序准备完成时提供了临时解决方案。然而，随着漏洞披露后不久就出现了活跃的利用行为，情况已经变得更加复杂。

CISA 最近已将这一漏洞（CVE-2023-0669）加入到已知的被利用漏洞公共目录，并要求所有联邦政府机构在 3 月 3 日前应用补丁。

尽管“这些主张尚未得到证实”，但警报指出：“克洛普展示了在多个操作中使用具有趋势性战术的历史。今年克洛普的攻击仅加剧了对医疗行业的攻击趋势，突显其对未来攻击的脆弱性。”

这一威胁并非假设。两个月前，Hold Security 创始人亚历克斯·霍尔登（AlexHolden）发布的研究表明，克洛普的攻击者正在积极破坏患者与医疗提供者之间的信任，通过 telehealth平台以患者身份注册并与医生分享感染恶意软件的文件。

这一研究促使了卫生与公共服务部的先前警报，并特别指出克洛普针对 Windows 系统而设计。本月，SentinelLabs 发现了第一个基于 Linux的克洛普变种，采用相同的加密方法和类似的处理逻辑。

尽管这一变种当前存在缺陷，但最新的卫生与公共服务部警报警告称：“Linux在服务器和云工作负载中的广泛使用使得克洛普可能会利用这次新的勒索软件活动来攻击更多行业，包括医疗行业。”

更为重要的是，克洛普并不遵循其他勒索软件服务（RaaS）组织的相同规则，它“毫不掩饰且几乎绝对专注于医疗行业”。在 2021年，克洛普对医疗行业的攻击占其所有攻击的 77%。同年，执法机构逮捕了六名成员，这对该组织的成功几乎没有影响。

“持续且成功的攻击表明，该高产组织仍然是医疗行业的一个可行威胁，”警报警告道。“像克洛普这样的网络威胁行为者瞄准医疗行业的概率依然很高。”

医疗机构被敦促评估针对克洛普对该行业威胁的更新警报，包括新战术的可能性、最近攻击的细节及其利用漏洞的技术，以及可能降低被利用风险的防御措施。

“自 2019年以来，克洛普便开始攻击医疗行业，通过有效结合勒索软件和数据盗窃的方式不断演变，”美国医院协会（AHA）负责网络安全和风险的国家顾问约翰·里吉（JohnRiggi）在声明中表示。“医疗机构应立即实施这些警报中推荐的安全补丁，并评估安全文件传输系统的范围、安全性和必要性。”

卫生与公共服务部还在其先前警报中添加了其他补救建议，包括培训员工应对通过电子邮件或网络访问进行的社交工程攻击，制定清晰传授给所有员工的网络安全路线图，并评估所有企业风险并对漏洞优先制定计划，与预算和人员情况相协调。