自2017年5月一種名為WannaCry的勒索病毒爆發(fā)以來(lái)，部分醫(yī)院成為主要攻擊對(duì)象之一。

9月17日至21日，在國(guó)家網(wǎng)絡(luò)安全宣傳周暨網(wǎng)絡(luò)安全博覽會(huì)期間，騰訊智慧安全發(fā)布《醫(yī)療行業(yè)勒索病毒專題報(bào)告》。

自今年7月以來(lái)，勒索病毒一直處于持續(xù)活躍的狀態(tài)，其中8月相對(duì)于7月勒索病毒傳播有所加強(qiáng)。

另外在全國(guó)三甲醫(yī)院中，有247家醫(yī)院檢出了勒索病毒，以廣東、湖北、江蘇等地區(qū)檢出勒索病毒最多。

其中，被勒索病毒攻擊的操作系統(tǒng)主要以Windows 7為主，Windows 10次之，以及停止更新的Windows XP。

對(duì)此，報(bào)告指出，當(dāng)前沒(méi)有及時(shí)更新操作系統(tǒng)的醫(yī)療機(jī)構(gòu)仍占一定的比例，這極有可能會(huì)為醫(yī)療業(yè)務(wù)帶來(lái)極大的安全隱患。

針對(duì)性投放病毒2017年5月12日，WannaCry勒索病毒爆發(fā)，全英國(guó)16家醫(yī)院遭到大范圍網(wǎng)絡(luò)攻擊，醫(yī)院的內(nèi)網(wǎng)被攻陷，導(dǎo)致這16家醫(yī)院基本中斷了與外界聯(lián)系，內(nèi)部醫(yī)療系統(tǒng)幾乎停止運(yùn)轉(zhuǎn)，很快又有更多醫(yī)院的電腦遭到攻擊，這場(chǎng)網(wǎng)絡(luò)攻擊迅速席卷全球。

勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播。

該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來(lái)無(wú)法估量的損失。

這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解。

全國(guó)醫(yī)院高危漏洞仍然有RTF漏洞、Flash漏洞等未及時(shí)修復(fù)。

勒索病毒工作者往往會(huì)將帶漏洞利用的Office文檔通過(guò)偽造的釣魚(yú)郵件傳播，一旦用戶點(diǎn)擊打開(kāi)，則會(huì)下載勒索病毒在內(nèi)網(wǎng)展開(kāi)攻擊。

報(bào)告指出，勒索病毒相較2017年也已發(fā)生較為明顯的變化，攻擊行動(dòng)不再是沒(méi)有目的的廣撒網(wǎng)式傳播，而是針對(duì)重點(diǎn)高價(jià)值目標(biāo)投放，以最大限度達(dá)到敲詐勒索的目的。

從醫(yī)療行業(yè)被勒索病毒入侵的方式上看，勒索病毒主要通過(guò)系統(tǒng)漏洞入侵和端口爆破，然后利用永恒之藍(lán)漏洞工具包傳播，一旦不法黑客得以入侵內(nèi)網(wǎng)，還會(huì)利用更多攻擊工具在局域網(wǎng)內(nèi)橫向擴(kuò)散。

根據(jù)調(diào)查分析，國(guó)內(nèi)各醫(yī)療機(jī)構(gòu)大多都有及時(shí)修復(fù)高危漏洞的意識(shí)，但由于資產(chǎn)管理不到位，導(dǎo)致少數(shù)機(jī)器依然存在風(fēng)險(xiǎn)，給了不法分子可乘之機(jī)。

報(bào)告指出，病毒傳播者不斷更新作案手法，通過(guò)加強(qiáng)代碼混淆加密升級(jí)對(duì)抗技術(shù)方案，導(dǎo)致安全軟件無(wú)法及時(shí)報(bào)毒。

以PyLocky勒索病毒為例，該勒索病毒擁有正規(guī)的數(shù)字簽名，借助合法證書(shū)避免被安全軟件的查殺攔截，從而橫行網(wǎng)絡(luò)，給用戶網(wǎng)絡(luò)安全帶來(lái)巨大的威脅。

而另一個(gè)勒索病毒GandCrab，在7月初發(fā)現(xiàn)第四代之后，短短2個(gè)月就更新了4個(gè)版本，速度之快令人咋舌。

在傳播場(chǎng)景方面，傳統(tǒng)的勒索病毒傳播更多的依賴于水坑攻擊、釣魚(yú)郵件攻擊、或利用Office安全漏洞構(gòu)造攻擊文檔，誘騙安全意識(shí)不足的目標(biāo)用戶運(yùn)行后中毒。

近日騰訊智慧安全御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)還發(fā)現(xiàn)，越來(lái)越多的攻擊者會(huì)首先從醫(yī)療機(jī)構(gòu)連接外網(wǎng)的Web服務(wù)器入手，利用服務(wù)器的安全漏洞或弱口令入侵，一旦成功，便會(huì)利用更多攻擊工具在內(nèi)網(wǎng)繼續(xù)攻擊擴(kuò)散。

如果醫(yī)療機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)存在安全漏洞，又遲遲未能修補(bǔ)，便會(huì)給不法分子留下可趁之機(jī)。

報(bào)告通過(guò)對(duì)調(diào)查中醫(yī)療機(jī)構(gòu)采用的各種數(shù)據(jù)安全措施分析，發(fā)現(xiàn)數(shù)據(jù)災(zāi)備、數(shù)據(jù)庫(kù)鏡像備份、數(shù)據(jù)冷備份和數(shù)據(jù)離線存儲(chǔ)是醫(yī)院主要的數(shù)據(jù)安全措施，目前至少有一半醫(yī)院采取了數(shù)據(jù)備份措施，使得醫(yī)院遭受勒索攻擊時(shí)，能及時(shí)恢復(fù)數(shù)據(jù)維持業(yè)務(wù)正常運(yùn)轉(zhuǎn)。

醫(yī)療互聯(lián)網(wǎng)化安全考驗(yàn)互聯(lián)網(wǎng)時(shí)代，隨著移動(dòng)醫(yī)療、AI醫(yī)療影像、電子病歷等等數(shù)字化程序的普及，醫(yī)療數(shù)據(jù)被泄露屢見(jiàn)不鮮。

面對(duì)未知、突發(fā)性的勒索病毒，采取主動(dòng)事前防御的辦法，無(wú)疑是保護(hù)企業(yè)信息安全的重中之重。

維創(chuàng)信息技術(shù)最后再次提醒大家：抓緊進(jìn)行一次安全排查，消除安全隱患，加強(qiáng)安全防護(hù)措施，做好數(shù)據(jù)備份，做好等保等合規(guī)性工作。

如果有網(wǎng)絡(luò)安全和數(shù)據(jù)加密方面的需要，也可以與維創(chuàng)信息技術(shù)聯(lián)系。