UHS在美國和英國經營著400多家醫院。自周日以來,一些美國醫院系統受影響而斷網。UHS工作人員表示,由於電腦系統出現故障,他們不得不使用筆和紙。
重點:
*美國和英國的主要連鎖醫院Universal Health Services(UHS)表示,其電腦網路因“安全問題Security issue”而斷網
*《財富Fortune》500強公司之一,UHS擁有400家醫院和診所,擁有90,000名員工
*UHS表示正在使用備份來嘗試還原網路
*美國的UHS醫院(包括加州,佛羅里達,德州,亞利桑那州和華盛頓特區的醫院)無法使用電腦和電話系統
*UHS說似乎沒有患者,員工數據被訪問,複製或以其他方式洩露
*該公司的網站說,UHS每年治療350萬患者
據員工和患者稱,自周日上午以來,UHS醫院一直在沒有內部IT系統的情況下運營。由於UHS實驗室的設施無法正常運作,一些患者被拒之門外,緊急情況的患者已轉移到其他醫院。
一位知情人士說,電腦螢幕出現了“影子宇宙shadow universe”的字樣,另一名員工告訴外媒BleepingComputer,檔案被新重命名為包括.ryk副檔名,與Ryuk勒索軟體特徵一致。知情人士也說:“每個人都被告知要關閉所有電腦,不要再次打開它們。”“我們被告知要幾天後才能再次啟動電腦。”
根據資安專家Vitali Kremez,他們在2020年以及最近的9月都檢測到有影響UHS Inc.的Emotet和TrickBot木馬。
該Emotet木馬通過網路釣魚包安裝在受害者的電腦上並隨電子郵件的惡意附件散播。一段時間後,Emotet還會安裝TrickBot, 在從受感染的網路中收集敏感資料後,再為Ryuk打開reverse shell。一旦Ryuk訪問網路,他們便會開始偵察,在獲得管理員憑證後,便使用PSExec或PowerShell Empire在網路設備上部署勒索軟體的payloads。
此資安事件影響了UHS設施後,還傳出等待實驗室結果中有四名病人死亡。
上週德國一名婦女因勒索軟體攻擊而轉移到另一家醫院死亡後,德國警方發起了兇殺案調查。
Ryuk勒索軟體的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:
https://otx.alienvault.com/pulse/5e8369d35fd7d069d77f06ea
https://otx.alienvault.com/pulse/5e7cc5274bea708f20593bec
來源參考: https://www.bleepingcomputer.com/news/security/uhs-hospitals-hit-by-reported-country-wide-ryuk-ransomware-attack/
https://www.nbcnews.com/tech/security/cyberattack-hits-major-u-s-hospital-system-n1241254