審查發(fā)現(xiàn)，那次勒索攻擊之所以能對(duì)HSE的IT環(huán)境產(chǎn)生巨大的負(fù)面影響，主要是它自身缺乏應(yīng)對(duì)此類突發(fā)事件的準(zhǔn)備。

　　美國(guó)衛(wèi)生與公眾服務(wù)部（HHS）日前發(fā)布一份威脅簡(jiǎn)報(bào)，介紹了2021年愛爾蘭衛(wèi)生健康服務(wù)署（HSE）遭受Conti勒索軟件攻擊期間的嚴(yán)峻狀況和主要錯(cuò)誤，并敦促各醫(yī)療保健機(jī)構(gòu)進(jìn)行審查是否存在同類問題。

　　那次攻擊導(dǎo)致整個(gè)愛爾蘭的醫(yī)療保健服務(wù)體系嚴(yán)重癱瘓，成千上萬(wàn)愛爾蘭民眾的COVID-19疫苗接種信息（包括大量應(yīng)受保護(hù)的個(gè)人健康信息）也被攻擊者從HSE網(wǎng)絡(luò)中盜出，總數(shù)據(jù)量約為700 GB。

　　愛爾蘭衛(wèi)生健康服務(wù)署在2021年6月委托普華永道開展獨(dú)立事后審查，美國(guó)衛(wèi)生與公眾服務(wù)部的簡(jiǎn)報(bào)正是根據(jù)此次審查的報(bào)告整理。審查發(fā)現(xiàn)，那次攻擊之所以能對(duì)HSE的IT環(huán)境產(chǎn)生巨大的負(fù)面影響，主要是它自身缺乏應(yīng)對(duì)此類突發(fā)事件的準(zhǔn)備。

　　內(nèi)部安全管理工作嚴(yán)重缺失

　　美國(guó)衛(wèi)生與公眾服務(wù)部在簡(jiǎn)報(bào)中提到，“在事發(fā)期間，HSE沒有負(fù)責(zé)網(wǎng)絡(luò)安全的負(fù)責(zé)人，無(wú)論是在高管或中層管理人員層面。HSE也沒有專門的委員會(huì)，來(lái)指導(dǎo)和監(jiān)督網(wǎng)絡(luò)安全工作，以及著手組織關(guān)于緩解HSE網(wǎng)絡(luò)風(fēng)險(xiǎn)的具體舉措。”

　　“HSE還缺少網(wǎng)絡(luò)安全討論會(huì)議，導(dǎo)致他們較難開展細(xì)粒度的網(wǎng)絡(luò)風(fēng)險(xiǎn)討論與記錄，以及識(shí)別和提供緩解控制的能力。HSE根本不具備管理與控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所必需的集中網(wǎng)絡(luò)安全職能。”

　　更重要的是，HSE還沒有部署任何安全監(jiān)控解決方案，來(lái)幫助調(diào)查與響應(yīng)在其IT環(huán)境中檢測(cè)到的安全威脅。

　　以上種種原因，致使HSE對(duì)于Conti勒索軟件團(tuán)伙的惡意行為缺乏響應(yīng)。

　　超八成IT環(huán)境遭加密，

　　恢復(fù)成本超6億美元

　　事實(shí)上這波攻勢(shì)可以說(shuō)是明目張膽，早在2021年5月7日，部署在多臺(tái)HSE服務(wù)器上的Cobalt Strike beacon就已經(jīng)被端點(diǎn)反病毒解決方案檢測(cè)到，只是警報(bào)提醒一直沒有得到重視。

　　美國(guó)衛(wèi)生與公眾服務(wù)部還提到，“HSE管理層報(bào)告稱，在此次攻擊當(dāng)中，有80%的IT基礎(chǔ)設(shè)施遭到勒索軟件加密。”

　　“勒索軟件攻擊對(duì)通信造成了嚴(yán)重影響。因?yàn)镠SE之前幾乎只使用本地郵件系統(tǒng)（包括Exchange），在遭到加密之后，通信完全無(wú)法使用。”

　　HSE Conti勒索軟件事件時(shí)間表（普華永道/HSE）

　　幸運(yùn)的是，Conti勒索軟件團(tuán)伙為HSE提供了能夠恢復(fù)系統(tǒng)的免費(fèi)解密器，但警告稱如果HSE不支付2000萬(wàn)美元贖金，則會(huì)出售或公開發(fā)布這批被盜數(shù)據(jù)。

　　Conti勒索軟件團(tuán)伙在交涉的聊天頁(yè)面中表示，“我們會(huì)免費(fèi)提供網(wǎng)絡(luò)解密工具，但需要澄清一點(diǎn)，如果貴方未能與我們聯(lián)系并嘗試解決問題，我們將出售或公開發(fā)布大量私人數(shù)據(jù)。”

　　愛爾蘭衛(wèi)生部當(dāng)時(shí)曾表示，“HSE確實(shí)獲得了加密密鑰，但需要首先對(duì)密鑰進(jìn)行安全評(píng)估調(diào)查，之后才能在HSE系統(tǒng)上實(shí)際使用。”

　　HSE恢復(fù)工作持續(xù)了四個(gè)多月，耗資超過(guò)6億美元。其中有1.2億美元的專項(xiàng)恢復(fù)資金主要用于更換和升級(jí)所有被勒索軟件感染的系統(tǒng)。

　　此次勒索軟件攻擊成為國(guó)家整體衛(wèi)生服務(wù)遭受網(wǎng)絡(luò)事件影響的首批案例，也是惡意攻擊者直接造成的中斷周期最長(zhǎng)的事件之一。相比之下，2017年席卷全球的WannaCry攻擊也僅僅影響到部分英國(guó)國(guó)家衛(wèi)生服務(wù)部門。

　　敏感數(shù)據(jù)外泄，

　　曾被公開放出

　　盡管此次攻擊事件導(dǎo)致愛爾蘭的醫(yī)療保健服務(wù)系統(tǒng)陷入大面積癱瘓，但愛爾蘭總理Taoiseach Micheál Martin表示，HSE絕不會(huì)支付任何贖金。

　　就在攻擊之后，包含患者數(shù)據(jù)的被盜HSE文件樣本歸檔很快被上傳至VirusTotal惡意軟件掃描站點(diǎn)。

　　愛爾蘭法院隨后向VirusTotal下令，要求其提供曾經(jīng)下載或上傳這批愛爾蘭國(guó)家醫(yī)療保健機(jī)密數(shù)據(jù)（涵蓋郵箱地址、電話號(hào)碼、IP地址或真實(shí)居住地址）的訂閱用戶信息。

　　據(jù)外媒The Journal報(bào)道，截至2021年5月25日數(shù)據(jù)被刪除之前，這份HSE被盜數(shù)據(jù)歸檔在VirusTotal上的下載量為23次。