CISA與FBI聯手警告：駭客正鎖定醫療院所展開Ryuk勒索軟體攻擊

美國國土安全部旗下的網路安全暨基礎架構安全署（CISA）、美國聯邦調查局（FBI），以及美國衛生與公共服務部（HHS）在本周三（10/28）連袂警告，Ryuk勒索軟體駭客鎖定醫療及公共衛生部門展開攻擊，顯示對美國醫院及醫療保健供應商的網路犯罪威脅正與日俱增，而且迫在眉睫。

CISA、FBI與HHS的警告聲明詳細地說明了駭客的攻擊手法及防範措施，並未揭露受害規模，但根據外電的報導，在本周浮出檯面的受害醫療院所就有4家，而路透社更說，駭客在同一天攻擊了6家美國的醫療院所，CyberScoop則報導，這波攻擊是源自於東歐的駭客集團，顯現出事態的嚴重性。

紐約州聖羅倫斯郡醫療系統在本周二（10/27）披露，該系統位於Canton-Potsdam、Massena及Gouverneur的3家醫院遭到勒索軟體攻擊，該醫療系統的資訊部門立即切關了所有系統的網路連結，並關閉受到影響的網路以避免惡意程式進一步擴散，而遭到駭客植入的勒索軟體為Ryuk。

另一個公布自己受害的則是奧勒岡州的Sky Lakes Medical Center，該醫療中心同樣是在本周二遭受到Ryuk勒索軟體的攻擊。

路透社引用資安業者Recorded Future威脅情報分析師Allan Liska的看法指出，即使每周都能看到駭客以勒索軟體攻擊醫療院所，但這是他們首次看到同一個駭客集團在同一天針對6家醫療院所展開攻擊，這分明是一個用來摧毀醫院的協同攻擊。

另一資安業者FireEye資深副總裁Charles Carmakal則向CyberScoop透露，這波攻擊來自於東歐駭客組織UNC1878，該組織已到處部署Ryuk來癱瘓多家醫院的IT網路，Carmakal還說，這是他職業生涯中所看到最無情、最無禮，也最具破壞性的駭客集團之一。

CISA、FBI與HHS的調查則顯示，駭客是以Trickbot惡意程式鎖定健康照護（HPH）領域，經常造成勒索軟體攻擊、資料竊盜，以及摧毀醫療服務的後果，這對於正在處理疫情的醫療院所而言更形艱困，建議醫療高層在決定其網路安全投資時，必須要衡量此一風險。

媒體則注意到，遭CISA與FBI點名的Trickbot曾於日前曝光，因為微軟甫於10月中旬宣布已與全球資安電信業者聯手摧毀Trickbot殭屍網路，雖然微軟當時曾認為Trickbot很快就會捲土重來，但兩周後Trickbot便再度重創醫療院所，使得網路犯罪分析師Stefan Tanase揣測也許當時微軟的宣稱過於誇大了。

CISA、FBI及HHS則呼籲各大醫療院所應該要作好準備，從修補作業系統/軟體/韌體漏洞、檢查作業系統配置、定期更換密碼、採用雙因素認證、關閉不用的遠端連結埠、稽核具管理權限的用戶帳號、定時備份、設置防毒解決方案，一直到在不同的實體區域安全地存放備份，以期在遭到攻擊時能儘快恢復。