美国网路安全暨基础设施安全局(CISA)与美国联邦调查局(FBI)上周五(5/10)携手针对勒索软体集团Black Basta的攻击行动发出了警告,指出它已影响全球逾500个组织。而此一警告正巧出现在美国大型医疗系统Ascension遭到攻击后没多久。
Ascension为美国数一数二的私人医疗照护系统,它是个非营利的天主教医疗照护网路,在美国设有140家左右的医院及40家养老院。不过,Ascension在上周三(5/8)遭到勒索软体攻击,不仅自家的某些服务中断了,Ascension还建议合作伙伴暂时切断与其系统的连结。
中断的Ascension服务包括健康纪录系统与订购系统等,因而开始采用手动及原始的纸笔记录程序,并有美国媒体报导,这几天当地的紧急医疗服务都被指示要绕过Ascension。
尽管Ascension的声明中没有提及Black Basta,CISA及FBI的警告亦未指名Ascension,但《CNN》引述多名消息来源报导,Ascension是受到Black Basta勒索软体的攻击。
CISA与FBI于联合声明中指出,Black Basta出现在2022年4月,为一勒索软体即服务(RaaS),截至今年5月,其联盟已影响全球逾500个组织,从北美、欧洲到澳洲的各种业务与关键基础设施,且至少已加密及窃取来自16个关键基础设施中12个领域的资料,涵盖医疗照护及公共卫生领域。
在对Black Basta攻击行动的分析中显示,其联盟采用诸如网路钓鱼或已知漏洞等常见的初始存取技术来渗透目标对象,并采用双重勒索型态,包括加密系统及外泄资料,要求受害者透过洋葱网路(.onion)联系骇客,并给予10~12天的时间来支付赎金,否则便会借由Black Basta隐藏于暗网中的官网或Basta News公布所窃来的资料。
CISA与FBI虽然没有点名Ascension,但该声明强调,医疗照护组织因其规模、对技术的依赖、可存取个人健康资讯,再加上可能影响病患的护理等因素,而成为极具吸引力的攻击目标,因而督促公共卫生部门及所有的关键基础设施都应采纳CISA与FBI对相关攻击所提出的缓解建议。
此一建议包括确保资产管理与安全性,注重电子邮件安全性并预防网钓攻击,执行存取管理,展开漏洞管理及评估,使用威胁情报资讯,以及验证系统的安全控制等。
该声明亦公布了Black Basta所使用的各种工具以及网路入侵指标(IOC)供外界参考。