愛爾蘭高等法院下令VirusTotal提交上傳或下載了愛爾蘭衛生健康署被盜數據的有關人士個資

在英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源下,高等法院要求 VirusTotal交出下載或上傳 HSE 數據的用戶資訊

今年 5 月,愛爾蘭的公共醫療保健系統 Health Service Executive, HSE被Conti 勒索軟體攻擊,該攻擊使HSE在設備被加密後造成 IT 系統大規模中斷,嚴重影響該國的醫療服務,Conti在攻擊過程竊取了HSE 約700GB 的數據,據稱這些數據包括患者和員工個資、合約、財務報表、會議記錄、薪資單等。

據金融時報的報導,有人將27份HSE的檔案包含12名病患的個資上傳到惡意檔案分析網站VirusTotal上,檔案在 5 月 25 日被 Chronicle (VirusTotal的母公司)刪除之前被VirusTotal用戶下載了 23 次。VirusTotal除了掃描惡意檔案之外,還能充當上傳檔案的存儲庫,允許訂閱者搜索和下載檔案以分析他們自己的安全研究或改進他們的安全軟體。

在愛爾蘭法院發布禁令要求任何擁有被盜數據的人將其歸還給 HSE 後,英國《金融時報》歸還了數據,但拒絕透露提供樣本的來源。

週二,愛爾蘭高等法院發布命令,要求 VirusTotal 的所有者 Chronicle Security Ireland 和 Chronicle LLC 交出下載或上傳 HSE 數據的用戶的個資包括電子郵件地址、電話號碼、IP 地址或地址。高等法院法官也同時指出,被告沒有反對下達的命令,即所謂的Norwich Pharmacal Order第三方披露令。

有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

Conti勒索軟體為愛爾蘭衛生健康署提供”免費”解密程式,但稱仍會公開盜取的資料,愛爾蘭高等法院發布超級禁令,要求Conti歸還數據

Conti勒索軟體的背後駭客已為愛爾蘭衛生健康署(Health Service Executive, HSE)發布了免費的解密程式,但警告他們仍將出售或公開盜來的數據。上週五(5/15),愛爾蘭的HSE(即該國的公共資助醫療系統)和衛生部(Department of Health)遭到了Conti勒索軟體攻擊,後者所幸及時發現未被得逞, HSE被迫關閉其IT系統並切斷網路預防災害擴大,但該國的衛生服務被仍嚴重影響。

據相信攻擊背後的網路犯罪組織為巫師蜘蛛(Wizard Spider),其總部位於俄羅斯聖彼得堡地區,該組織主要使用Trickbot,Ryuk和Conti三種惡意軟體。

今天Conti的背後駭客在其與HSE的談判頁面上發布了指向免費解密工具的連結,該連結可用於免費復原被加密的檔案。資安研究組織Malware Hunter Team也證實解密工具能還原HSE的檔案,但駭客警告說,如果不支付19,999,000美元的贖金,他們仍將在出售或公開盜取的私人數據。

Conti在其與HSE的談判頁面上發布的免費解密程式

愛爾蘭的BH Consulting的CEO,Europol的前網路安全顧問Brian Honan表示,即使解密工具有效,上週攻擊達到前所未有的規模,HSE需重建其IT基礎架構。他說:“這是為了確保系統乾淨無感染,並且罪犯沒有在這些系統上植入任何其他惡意軟體。”

今早,HSE獲得了都柏林高等法院(Dublin’s High Court)的禁令,該禁令要求擁有從HSE竊取數據的任何人將其移交,並且不得透露,交易或處理該數據。HSE表示,此舉旨在將在Google和Twitter等網站共享HSE被盜的數據視為非法, HSE同時已將該禁令上傳Conti勒索軟體的暗網頁面上。

法院的禁令還包含求威脅行為者歸還數據,並通過透露其姓名,電子郵件地址和實際地址來識別身份。

相信Conti的背後駭客不會屈服於禁令,但預計駭客所在的國家將幫助跟踪和防止威脅行為者洩漏數據。

愛爾蘭國家網路安全中心發布警報,有關Conti勒索軟體對衛生部門攻擊的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

其他有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1

繼愛爾蘭醫療系統被駭後,Conti勒索軟體又作惡,新西蘭五間醫院的IT系統中斷,當地官員稱不會付贖金

Key Points:

*受影響的醫院有五間,分別是Waikato醫院, Thames醫院, Tokoroa醫院, Te Kuiti 醫院和Taumaranui醫院

*門診,預約和即將進行手術的病患均已被延遲,並且無法獲取病患的病歷

*醫院員工透露,現場一片混亂,因為什麼都不能做

*懷卡托衞生委員會(Waikato District Health Board,WDHB)已啟動了危機應變方案危機應變方案,以解決此次一網路攻擊事件

Covid 19疫情爆發,世界各地的醫療機構受到各種威脅,不少駭客藉疫情作惡,5月18日新西蘭多個媒體報導,由於WDHB的IT系統遭到駭客攻擊而中斷,當地的所有公立醫院因而受到嚴重的影響,由於電話及電腦系統癱瘓不能繼續門診服務,同時預約服務和即將進行的非緊急手術病患均受到影響,醫護也不能翻查病患的病歷。醫生工會說,醫院和門診人員將系統中斷描述為完全是一片混亂(mayhem) ,有必要將其他一些患者轉移到其他醫院。

當地的醫生協會國家秘書長Deborah Powell表示,據她了解此事件是由Conti勒索軟體所引起的,是與上週對愛爾蘭衛生健康署(Health Service Executive, HSE)發動攻擊的勒索軟體為同一款。

懷卡托衞生委員會(WDHB)在其Facebook頁面上說:“我們已聘請外部援助來解決影響我們IT服務環境的網路安全事件。我們正處於查明所發生情況的早期階段,目前無法在調查事件時提供進一步的細節。已向有關政府當局提供了有關情況的通知。我們不確定解決這種情況將需要多長時間,但我們正在努力使我們的服務恢復。”

Conti被認為是Ryuk 勒索軟體的繼任者,於2020年6月份被發現, 其特色是以32個CPU執行緒進行加密, 同時加密大量檔案,讓防護系統來不及因應。Conti曾於去年11月攻擊研華,要脅750比特幣,約1300萬美元。

愛爾蘭國家網路安全中心發布警報,有關Conti勒索軟體對衛生部門攻擊的情資:

https://otx.alienvault.com/pulse/60a2d0486c6e368ed30220da

其他有關Conti勒索軟體的情資:

https://otx.alienvault.com/pulse/5f0781369d8978954c40d9f1