與其他關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)不同，醫(yī)療衛(wèi)生系統(tǒng)更關(guān)系到人們的生命安全。醫(yī)療行業(yè)的特殊性質(zhì)也使得它們成為攻擊者關(guān)注的重點，黑產(chǎn)團隊將成千上萬病人病例、藥方、學(xué)術(shù)報告等重要醫(yī)療衛(wèi)生資料通過惡意計算機病毒加密成一個不可查看文件，并以此勒索醫(yī)院，交贖金還原文件，以此獲得豐厚的回報。常見的攻擊方式有勒索病毒、APT攻擊、漏洞利用等。今天小編根據(jù)近期典型的針對醫(yī)療衛(wèi)生行業(yè)的勒索攻擊案例，為大家介紹幾種對醫(yī)療行業(yè)常見的攻擊手段，提供給醫(yī)療衛(wèi)生從業(yè)者和公眾參考，引起警惕從而采取必要的措施避免威脅的影響。

1.針對CT機的攻擊

某市中心醫(yī)院的一臺CT機，不定時的發(fā)生藍(lán)屏重啟現(xiàn)象，在對流量進行還原過程中，發(fā)現(xiàn)攻擊者對該CT機網(wǎng)段進行了流量嗅探和分析。通過研判，發(fā)現(xiàn)多個主機針對該CT機的445端口進行訪問，并建立IPC連接，其被攻擊者使用“永恒之藍(lán)”MS17-010高危漏洞發(fā)起攻擊，且此前主機存在數(shù)個病毒文件，如勒索軟件、木馬等。運維人員已對該CT機進行備份處置。

2.入侵客服服務(wù)器

某大學(xué)某醫(yī)院遭受未知勒索軟件攻擊，根據(jù)對內(nèi)網(wǎng)已知中勒索的服務(wù)器進行日志分析，最終定位到源頭機器為客服服務(wù)器，并且該機器上存在攻擊者上傳的Mimikatz及抓密碼的記錄，在所有中招機器中發(fā)現(xiàn)被加密文件后綴格式為：*. -XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX，并留有勒索文本至服務(wù)器內(nèi)，勒索軟件名為Attention。

3.弱口令登陸外網(wǎng)服務(wù)器

某醫(yī)院遭受GandCrab攻擊，經(jīng)過排查分析發(fā)現(xiàn)源頭為對外開放的服務(wù)器，被黑客通過該服務(wù)器弱口令遠(yuǎn)程登錄，并獲取到192.168網(wǎng)段服務(wù)器的遠(yuǎn)程登錄權(quán)限，隨后利用該服務(wù)器對內(nèi)網(wǎng)服務(wù)器進行IPC暴力破解，在將大量設(shè)備的權(quán)限獲取完畢后，投放勒索病毒。

4.勒索Linux服務(wù)器

某醫(yī)藥公司感染Satan勒索病毒，通過對系統(tǒng)文件、進程及日志等分析，發(fā)現(xiàn)其Linux服務(wù)器被攻擊者通過PUT方式上傳了satan.jsp文件，使用的為Apache Tomcat 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-12615）。對被加密的文件進行排查，被加密文件后綴為.satan_pro，且加密釋放的特征文件為.conn、.crypt和.Ssession，確定為Linux版本的Santan勒索病毒變種Lucky。

5.加密域控主機

某藥業(yè)公司，內(nèi)網(wǎng)出現(xiàn)大量勒索病毒有橫向傳播的跡象，域控已被加密。排查后發(fā)現(xiàn)終端被植入勒索病毒加密后綴為：.Rabbit4444，通過查找在 C:\User\xxxx\AppData\Local 下發(fā)現(xiàn)加密模塊程序：Rabbit4444.exe ，確認(rèn)是 Globelmposter 勒索病毒。

6.密碼爆破入侵外網(wǎng)主機3389端口

某醫(yī)學(xué)檢驗公司遭受Globelmposter勒索軟件攻擊，攻擊者首先通過爆破外網(wǎng)xxxx:3389遠(yuǎn)程登陸成功后（即成功登錄10.x.x.x內(nèi)網(wǎng)地址），利用其地址作為跳板機，對其內(nèi)網(wǎng)地址進行大量的IPC爆破，爆破成功后，通過登錄RDP進行投毒，投毒后將其樣本清除，并繼續(xù)爆破下一臺主機或虛擬機。此外多個衛(wèi)生院，衛(wèi)健局/委，以及多個醫(yī)院，均被使用上述模式入侵成功，同樣被投放一樣的勒索軟件。

除此之外，通過OA服務(wù)器入侵、通過VPN帳號弱口令爆破入侵（某衛(wèi)生健康委員會，多臺業(yè)務(wù)服務(wù)器被Crysis勒索軟件加密）、定向攻擊也常見的勒索手段。鑒于許多醫(yī)療衛(wèi)生行業(yè)的網(wǎng)絡(luò)安全防護措施并未健全，人員的安全意識的有待加強，因此在被定向攻擊的時候，往往造成不可挽回的損失。

由于醫(yī)院的自身特點，醫(yī)院、藥業(yè)、醫(yī)療器械公司等為了滿足醫(yī)療數(shù)據(jù)長期存儲要求、預(yù)防數(shù)據(jù)病毒等，需要建立統(tǒng)一、安全、可靠的存儲空間，實現(xiàn)醫(yī)療數(shù)據(jù)的長期、低成本、集中存儲。北京金萬維公司的備無憂，通過完善的數(shù)據(jù)備份系統(tǒng)有效提高信息系統(tǒng)的整體安全，針對醫(yī)療行業(yè)數(shù)據(jù)，提供個性化的備份方案，不懼勒索攻擊，有效杜絕因數(shù)據(jù)丟失而導(dǎo)致的業(yè)務(wù)中斷或經(jīng)濟損失等。

備無憂具有數(shù)據(jù)可用性保障、多賬套自動備份、預(yù)防數(shù)據(jù)病毒、無需專業(yè)人員維護等優(yōu)勢。

備無憂通過集中管理、集中備份等措施，提高數(shù)據(jù)的安全性，降低存儲成本實現(xiàn)數(shù)據(jù)云端存儲；

3+1模式的有效數(shù)據(jù)，實現(xiàn)更長的歷史存儲，為用戶發(fā)現(xiàn)問題、解決問題提供更長的時間同期和恢復(fù)時間；

對數(shù)據(jù)備份/恢復(fù)/下載/檢測，全過程所有結(jié)果通過微信進行提醒，無打擾更方便；

“云+端”的模式實現(xiàn)數(shù)據(jù)備份/恢復(fù)的WEB化管理，無需專業(yè)人員，四步操作即可完成備份/恢復(fù)；

專業(yè)的智能客服平臺“幫我吧”為備無憂提供了可靠的多渠道響應(yīng)與服務(wù)平臺，可以安全有效的將數(shù)據(jù)備份為醫(yī)療單位信息化保駕護航。