医疗保健领域需警惕新型勒索病毒

关键要点

美国卫生与公众服务部的健康部门网络安全协调中心（HC3）在最近的一份中发出了警告，指出医疗保健（HPH）部门可能成为来自“NoEscape”的目标，这是一种三重勒索的病毒威胁组织。

自2023年5月首次被观察到以来，“NoEscape”就开始针对多个行业。该勒索集团不仅提供加密和数据窃取的恶意软件工具，合作伙伴还可以支付额外费用购买分布式拒绝服务（DDoS）服务。

HC3的报告指出：“尽管‘NoEscape’在网络威胁格局中较新，但其短暂的存在让它证明自己是一个强大的对手。”报告还提到：“医疗保健数据的价值表明，医疗行业仍将是一个可行的攻击目标。”

根据SOCRadar在，至今该勒索团体的最常见目标主要集中在专业服务、制造业以及信息行业（大多数为电信领域），受害者的超过30%位于北美，同时该威胁组织在欧洲和东南亚也十分活跃。

HC3指出，该团体并未允许其合作伙伴攻击在独立国家联合体（CIS）内的实体。

“DDoS服务可供合作伙伴使用，需要额外支付50万美元的费用，并且运营方设定了禁止合作伙伴攻击CIS国家的条件，”分析报告提到。
“此外，系统内还有机制可以降低该恶意软件在被检测为CIS国家的主机上运行的几率。”

SOCRadar表示，“NoEscape”迅速在网络安全领域中崛起。

“该勒索病毒具备进程终止、安全模式操作、通过SMB（服务器消息块）或DFS（分布式文件系统）进行传播和加密的功能，同时使用Windows重启管理器来绕过任何可能阻挡加密过程的进程，”SOCRadar的研究人员表示。

“一个独特的功能是共享加密，允许在网络中使用单一加密密钥对所有感染的文件进行加密，从而实现高效的加密和快速解密，如果支付了赎金。”

据信，“NoEscape”是更早期复杂勒索病毒运营者Avaddon团体的重新品牌，该团体于2021年解散。

对这两个团体的勒索病毒加密程序的分析显示出明显的相似性。

HC3表示：“之前，Avaddon的加密程序采用AES进行文件加密，而‘NoEscape’转而使用Salsa20算法。除此之外，加密程序几乎完全相同，包括加密逻辑和文件格式，甚至在‘RSA加密块的块分割’方法上也几乎一致。”

研究人员还了解到，Avaddon团体的核心成员现在已成为“NoEscape”的一部分。

HC3建议医疗服务提供者采取常规措施来保护自己免受勒索病毒攻击，例如保持软件更新、定期备份以及提高对钓鱼邮件的警惕。同时，医疗保健行业的组织还应利用行业特定资源，包括，这是一个旨在协调医疗行业安全实践的行业与政府合作计划。