重點:

*全美多個縣市執法機構週一（美國東部時間）晚上約7點報告了其911系統的故障

*同時，Microsoft報告了其365雲端服務的嚴重中斷；目前尚不清楚兩者是否有關連

*許多受影響的部門在一個小時的時間內恢復緊急電話服務

美國警方部門在亞利桑那州，加州，科羅拉多州，特拉華州，佛羅里達州，伊利諾伊州，印第安納州，明尼蘇達州，內華達州，北卡羅來納州，北達科他州，俄亥俄州，賓夕法尼亞州和華盛頓州等等的縣市回報緊急電話癱瘓的問題，警方同時敦促人們在遇到緊急情況時撥打當地警局電話。

此後，許多系統在一個小時內復原，但是某些地區的警方仍要求人們使用當地警局電話號碼而不是911，以避免使系統過度使用。

據NBC稱，與此同時，Microsoft發生了重大系統故障，Microsoft表示，包括Outlook，Office 365和Microsoft Teams在內的某些Microsoft服務在星期一經歷了數小時的停機，但是對於大多數用戶來說，目前已恢復。

“通過我們的監控，我們已經確認大多數客戶已經恢復了大多數服務，”微軟Office狀態頁上的一條通知寫道。“但是，我們繼續看到一小部位於北美地區的客戶，他們仍然受到影響。我們現在正在為仍然受到影響的客戶調查，實施緩解措施。”

911緊急電話服務中斷發生的時間與全美多家Universal Health Services（UHS）醫院系統癱瘓的時間很接近，因此在網路上引起了巨大的關注，許多網民把兩者連接在一起，但目前没證據支持此說法。

*****竣盟科技快報歡迎轉載，但請註明出處。

UHS在美國和英國經營著400多家醫院。自周日以來，一些美國醫院系統受影響而斷網。UHS工作人員表示，由於電腦系統出現故障，他們不得不使用筆和紙。

重點:

*美國和英國的主要連鎖醫院Universal Health Services(UHS)表示，其電腦網路因“安全問題Security issue”而斷網

*《財富Fortune》500強公司之一，UHS擁有400家醫院和診所，擁有90,000名員工

*UHS表示正在使用備份來嘗試還原網路

*美國的UHS醫院（包括加州，佛羅里達，德州，亞利桑那州和華盛頓特區的醫院）無法使用電腦和電話系統

*UHS說似乎沒有患者，員工數據被訪問，複製或以其他方式洩露

*該公司的網站說，UHS每年治療350萬患者

據員工和患者稱，自周日上午以來，UHS醫院一直在沒有內部IT系統的情況下運營。由於UHS實驗室的設施無法正常運作，一些患者被拒之門外，緊急情況的患者已轉移到其他醫院。

一位知情人士說，電腦螢幕出現了“影子宇宙shadow universe”的字樣，另一名員工告訴外媒BleepingComputer，檔案被新重命名為包括.ryk副檔名，與Ryuk勒索軟體特徵一致。知情人士也說：“每個人都被告知要關閉所有電腦，不要再次打開它們。”“我們被告知要幾天後才能再次啟動電腦。”

根據資安專家Vitali Kremez，他們在2020年以及最近的9月都檢測到有影響UHS Inc.的Emotet和TrickBot木馬。

該Emotet木馬通過網路釣魚包安裝在受害者的電腦上並隨電子郵件的惡意附件散播。一段時間後，Emotet還會安裝TrickBot， 在從受感染的網路中收集敏感資料後，再為Ryuk打開reverse shell。一旦Ryuk訪問網路，他們便會開始偵察，在獲得管理員憑證後，便使用PSExec或PowerShell Empire在網路設備上部署勒索軟體的payloads。

此資安事件影響了UHS設施後，還傳出等待實驗室結果中有四名病人死亡。

上週德國一名婦女因勒索軟體攻擊而轉移到另一家醫院死亡後，德國警方發起了兇殺案調查。

Ryuk勒索軟體的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5e8369d35fd7d069d77f06ea

https://otx.alienvault.com/pulse/5e7cc5274bea708f20593bec

來源參考: https://www.bleepingcomputer.com/news/security/uhs-hospitals-hit-by-reported-country-wide-ryuk-ransomware-attack/

https://www.nbcnews.com/tech/security/cyberattack-hits-major-u-s-hospital-system-n1241254

據意大利媒體報導，Luxottia旗下的Ray-Ban ，LenCrafters， EyeMed，Pearle Vision等網站於意大利時間上週五晚上,無法正常運作, 此外也被發現Luxottia的入口網站one.luxotrica.com和university.luxottica.com也顯示網站維護中的消息。

9月22日，意大利媒體報導稱，Luxottica工廠於意大利Belluno地區的Agordo與Sedico 的IT系統故障，停頓了Belluno地區工廠整天的工作。據Ansa報導，由於 “電腦系統故障”，Agordo和Sedico的生產和物流工廠於昨天早晨關閉。在昨天進行第二次輪班之後，員工透過簡訊被告知，由於系統無法運作，所以在晚上公司決定取消夜班。

工會消息人士後來向意大利媒體Ansa證實，由於“嚴重的IT問題，系統無法運作，這些員工被告知，不用去上班。

另外，資安公司Bad Packets稱Luxottica的Citrix ADC是存有Citrix設備中嚴重的 CVE-2019-19781漏洞。此漏洞在勒索軟體駭客中廣泛使用，利用此漏洞將提供駭客對網路的訪問權限和憑證，可用於透過網路進一步傳播。

儘管沒有關於這些系統中斷的官方聲明，但據媒體報導稱，Luxottica遭受了網路攻擊，而勒索軟體正是罪魁禍首，目前沒有更多資訊關於是哪一支勒索軟體所為。

註:Luxottica是全球最大的眼鏡公司，擁有超過80,000名員工，2019年創造了94億美元的收入，眼鏡品牌包含知名品牌，包括雷朋，Ferrari, Michael Kors, Bulgari寶格麗, Armani, Prada普拉達, Chanel香奈兒 和Coach等

竣盟科技建議針對勒索軟體的應對措施:

＊由於您的所有文件都是使用軍用級加密算法進行加密的，而且密鑰在犯罪者手上，因此基於原始數據復原(指解密)，這是個無解的困境。

＊向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後，對方有可能會就此停止聯繫，甚至解密器可能無法工作，或其本身帶來了更多威脅。

＊千萬不要使用號稱功能強大的反惡意軟體，這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後，您可能失去的更多。

＊針對勒索病毒的危害，正確的應對措施是平日的多重備份機制與定時的還原演練。

＊除了基本的防火牆外，還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護，以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。

＊佈署威脅偵測機制，如 SIEM、HIDS、封包檢測及進階誘捕系統等產品，可以早期發現，並防止威脅擴散。

對於重要的交易系統，可以佈署執行程序限制方案，防止惡意程式的執行。

＊透過教育訓練與各種攻擊演練，加強終端用戶的資安防護意識。

*****竣盟科技快報歡迎轉載，但請註明出處