/ 中存储网

一次勒索软件攻击,赎金竟高达2200万美元

2024-06-21 15:50:19 来源:中国存储网

一次勒索软件攻击,赎金竟高达2200万美元

联合健康集团(UnitedHealth Group)是一家美国医疗保健集团,于2024年2月12日遭受了一次严重的勒索软件攻击。BlackCat网络犯罪团伙(又称ALPHV)成功窃取了总计6 TB的敏感医疗记录,用行业术语来说,就是数百万美国患者的受保护的健康信息 (PHI) 和个人身份信息 (PII)。同时还使用强大的加密技术锁住了联合健康集团子公司Change Healthcare的服务器,并索要2200万美元的赎金,以保证不泄露这些数据。

攻击对美国医疗保健系统的短期影响

这次攻击的加密阶段对美国医疗保健行业造成了极大的影响。Change Healthcare作为医疗服务提供商(包括医生、医院、诊所和药房)与医疗保险公司之间的中介机构,提供保险范围验证服务,使医疗服务提供商能够获得服务的报酬,并使患者能够获得药物和治疗。Change Healthcare是这一系统中的关键环节,处理着美国至少40%的此类交易,每年的健康保险索赔超过150亿次,价值超过1.5万亿美元。

这对整个系统产生了直接的影响,在某些情况下,几乎是灾难性的。在没有 Change Healthcare批准交易的情况下,美国的医院每周都会遭受数百万美元的报销延迟。许多患者无法报销处方药费用,因此无法在药房配药,或者在有能力的情况下不得不支付全额费用,并祈祷以后能得到报销。医院停止让某些患者出院,因为担心他们无法获得必要的术后药物。一些医疗服务提供者试图通过向保险公司提交书面报销申请来应对,并希望他们的申请能够通过。这对大型医疗机构来说是一笔巨大的计划外开支,而对依赖保险公司快速报销的小型医疗机构来说,则成为了一场关乎存亡的现金流危机。

联合健康集团的初步回应

联合健康集团的应对措施是向BlackCat勒索软件团伙支付近2200万美元的比特币,以换取其不泄露被盗数据的承诺。在谈判进行的同时,联合健康集团努力重建Change Healthcare的被加密服务器,但由于该公司显然没有遵循维护可靠备份的最佳实践,因此这项工作受到了阻碍,否则这些备份可以迅速恢复这些服务器。

联合健康集团的恢复成本迅速攀升,截至2024年5月,与该事件相关的估计费用总计约16亿美元。该公司认为网络攻击响应成本和业务中断对其第一季度盈利造成了8.72亿美元的影响。三个多月后,联合健康仍在努力恢复受影响的服务。对于那些私人医疗记录可能被泄露的患者,该公司支付了信用监测和身份盗窃保护服务的费用,并建立了专门的呼叫中心和支持网站。外部分析师估计,在2025年联合健康将在数据泄露通知、暗网监控和诉讼费用上再花费16亿美元,而这些费用都不在网络保险的承保范围内,因为联合健康为自己投保了网络保险。

此次攻击对其他企业的启示

有句老话说得好:“没有人是一无是处的:他们总能成为坏榜样”。联合健康集团的攻击事件为其他企业提供了一些有用的教训,尤其是医疗保健行业。

安克诺斯建议企业采取以下五个步骤来提高网络弹性,以避免遭受像联合健康集团这样代价高昂的网络攻击:

  1. 加强网络安全防御措施。需要加强的潜在领域包括终端行为反恶意软件、EDR、多因素身份验证、传输中和静态数据的强加密,以及自动漏洞扫描和补丁管理。提高数据流的可见性可以改进对复杂、多阶段、隐蔽的网络攻击以及潜在内部威胁的检测。由于基于电子邮件的网络钓鱼是最流行的攻击载体,现在正是更新电子邮件安全和URL过滤系统的好时机。
  2. 加强备份和恢复能力,以防攻击得逞。这包括严格遵守3-2-1备份规则和部署云灾难恢复服务。进行例行测试以确保备份存档和流程正常运行,并在恢复操作之前扫描备份,检查是否存在恶意软件和未修补的漏洞。
  3. 利用机器学习和人工智能的进步,帮助提高网络弹性。这包括使用机器学习和人工智能来帮助对终端中的恶意软件进行行为检测,为EDR管理提供技能辅助,编写脚本以帮助实现常规网络安全和IT操作流程的自动化,并提供分析支持以帮助消化海量的威胁警报和情报。
  4. 投资于网络应变能力。人工智能的恶意使用极大地改进了网络钓鱼和深度假冒高管等社会工程攻击,因此上至董事会成员,下至普通员工,都需要定期更新网络安全意识技能。包括有关新技术的教育,如MFA疲劳攻击的使用,以及通过短信和社交媒体信息进行的网络钓鱼。
  5. 重新审视网络恢复流程。每个企业都应制定并定期更新事件响应计划,尤其是在发生漏洞或其他网络攻击后。在遭受攻击后,利用取证技术来识别和修复漏洞。参考NIST CSF 2.0、ISO 27001和CIS Controls等网络安全框架,以帮助确定潜在的改进领域,并实施业内同行总结的最佳实践。