審查發(fā)現，那次勒索攻擊之所以能對HSE的IT環(huán)境產生巨大的負面影響，主要是它自身缺乏應對此類突發(fā)事件的準備。

　　美國衛(wèi)生與公眾服務部（HHS）日前發(fā)布一份威脅簡報，介紹了2021年愛爾蘭衛(wèi)生健康服務署（HSE）遭受Conti勒索軟件攻擊期間的嚴峻狀況和主要錯誤，并敦促各醫(yī)療保健機構進行審查是否存在同類問題。

　　那次攻擊導致整個愛爾蘭的醫(yī)療保健服務體系嚴重癱瘓，成千上萬愛爾蘭民眾的COVID-19疫苗接種信息（包括大量應受保護的個人健康信息）也被攻擊者從HSE網絡中盜出，總數據量約為700 GB。

　　愛爾蘭衛(wèi)生健康服務署在2021年6月委托普華永道開展獨立事后審查，美國衛(wèi)生與公眾服務部的簡報正是根據此次審查的報告整理。審查發(fā)現，那次攻擊之所以能對HSE的IT環(huán)境產生巨大的負面影響，主要是它自身缺乏應對此類突發(fā)事件的準備。

　　內部安全管理工作嚴重缺失

　　美國衛(wèi)生與公眾服務部在簡報中提到，“在事發(fā)期間，HSE沒有負責網絡安全的負責人，無論是在高管或中層管理人員層面。HSE也沒有專門的委員會，來指導和監(jiān)督網絡安全工作，以及著手組織關于緩解HSE網絡風險的具體舉措。”

　　“HSE還缺少網絡安全討論會議，導致他們較難開展細粒度的網絡風險討論與記錄，以及識別和提供緩解控制的能力。HSE根本不具備管理與控制網絡安全風險所必需的集中網絡安全職能。”

　　更重要的是，HSE還沒有部署任何安全監(jiān)控解決方案，來幫助調查與響應在其IT環(huán)境中檢測到的安全威脅。

　　以上種種原因，致使HSE對于Conti勒索軟件團伙的惡意行為缺乏響應。

　　超八成IT環(huán)境遭加密，

　　恢復成本超6億美元

　　事實上這波攻勢可以說是明目張膽，早在2021年5月7日，部署在多臺HSE服務器上的Cobalt Strike beacon就已經被端點反病毒解決方案檢測到，只是警報提醒一直沒有得到重視。

　　美國衛(wèi)生與公眾服務部還提到，“HSE管理層報告稱，在此次攻擊當中，有80%的IT基礎設施遭到勒索軟件加密。”

　　“勒索軟件攻擊對通信造成了嚴重影響。因為HSE之前幾乎只使用本地郵件系統(tǒng)（包括Exchange），在遭到加密之后，通信完全無法使用。”

　　HSE Conti勒索軟件事件時間表（普華永道/HSE）

　　幸運的是，Conti勒索軟件團伙為HSE提供了能夠恢復系統(tǒng)的免費解密器，但警告稱如果HSE不支付2000萬美元贖金，則會出售或公開發(fā)布這批被盜數據。

　　Conti勒索軟件團伙在交涉的聊天頁面中表示，“我們會免費提供網絡解密工具，但需要澄清一點，如果貴方未能與我們聯(lián)系并嘗試解決問題，我們將出售或公開發(fā)布大量私人數據。”

　　愛爾蘭衛(wèi)生部當時曾表示，“HSE確實獲得了加密密鑰，但需要首先對密鑰進行安全評估調查，之后才能在HSE系統(tǒng)上實際使用。”

　　HSE恢復工作持續(xù)了四個多月，耗資超過6億美元。其中有1.2億美元的專項恢復資金主要用于更換和升級所有被勒索軟件感染的系統(tǒng)。

　　此次勒索軟件攻擊成為國家整體衛(wèi)生服務遭受網絡事件影響的首批案例，也是惡意攻擊者直接造成的中斷周期最長的事件之一。相比之下，2017年席卷全球的WannaCry攻擊也僅僅影響到部分英國國家衛(wèi)生服務部門。

　　敏感數據外泄，

　　曾被公開放出

　　盡管此次攻擊事件導致愛爾蘭的醫(yī)療保健服務系統(tǒng)陷入大面積癱瘓，但愛爾蘭總理Taoiseach Micheál Martin表示，HSE絕不會支付任何贖金。

　　就在攻擊之后，包含患者數據的被盜HSE文件樣本歸檔很快被上傳至VirusTotal惡意軟件掃描站點。

　　愛爾蘭法院隨后向VirusTotal下令，要求其提供曾經下載或上傳這批愛爾蘭國家醫(yī)療保健機密數據（涵蓋郵箱地址、電話號碼、IP地址或真實居住地址）的訂閱用戶信息。

　　據外媒The Journal報道，截至2021年5月25日數據被刪除之前，這份HSE被盜數據歸檔在VirusTotal上的下載量為23次。