ALPHV 勒索软件团伙从医院窃取了 5TB 数据

ALPHV/BlackCat 勒索软件组织声称入侵了莫里森社区医院，并将其添加到其暗网 Tor 泄露网站中。

该组织声称窃取了 5TB 的患者和员工信息、备份、PII 文件等。该团伙还发布了一个样本作为数据被盗的证据。

该组织表示，由于莫里森社区医院的代表尚未做出明确回应，因此已开始联系记者。Alphv 团伙还威胁很快就会给病人打电话。

数据显示，今年到目前为止，美国 29 个卫生系统（包括 90 家医院）受到勒索软件的影响，其中至少 23/29 的数据被盗。今年

9 月，LockBit 勒索软件组织入侵了两家医院：迦太基地区医院和纽约克莱顿赫本医疗中心。

这并不是 Lockbit 团伙或其附属机构第一次袭击医院。今年 1 月，  LockBit 勒索软件 团伙就针对病童医院 (SickKids) 的攻击正式道歉，并该医院发布了免费解密器。

众所周知，该组织的附属机构的职责是禁止攻击医疗保健组织。其政策禁止对可能导致个人死亡的组织系统进行加密。

该团伙解释说，其合作伙伴之一对 SickKids 的攻击违反了其规则，因此封锁了该附属机构。

Lockbit 团伙的附属机构过去也曾攻击过其他医疗机构，2022 年 12 月上旬， 凡尔赛医院中心 遭受了该组织发起的网络攻击。凡尔赛医院中心，包括安德烈-米尼奥医院、里查德医院和德斯帕涅养老院，因网络攻击而取消了手术并转移了一些患者。

8 月，该团伙 袭击了 巴黎东南部的弗兰西林南医院中心 (CHSF)。这次袭击扰乱了紧急服务和手术，并迫使医院将患者转移到其他机构。据当地媒体报道，威胁行为者索要 1000 万美元的赎金，以提供恢复加密数据的解密密钥。

其他勒索软件攻击最近袭击了美国医院。最近，Rhysida 勒索软件组织成为头条新闻，因为该组织 宣布 Prospect Medical Holdings 遭到黑客攻击并窃取了该组织的敏感信息。

Rhysida 勒索软件组织威胁 Prospect Medical Holdings，如果该公司不支付 50 比特币（价值 130 万美元）赎金，就泄露被盗数据。该组织本周声称入侵了其他三家美国医院。

8 月底，Singing River Health System 运营的三家医院和其他医疗机构的系统  遭到网络攻击。

此事也为广大企事业单位敲响了警钟，尤其随着数字化浪潮来袭，但广大企事业单位的安全运营防护却并未跟上步伐，因此面临“安全风险看不清”、“安全事件难处理”、“安全应对跟不上”等多个安全痼疾。

基于以上“顽症”，360以数字安全托管运营服务为核心的勒索防护方案，通过“事前预防-事中拦截-事后溯源”的安全策略，让企业再也无惧勒索病毒：

01快速甄别 封堵“祸”源

正是由于勒索攻击的不可逆性，“事前预防”是以360数字安全托管运营服务为核心的勒索防护方案的重要一环。

方案中的360终端安全检测与响应系统（360 EDR）可检测终端的脆弱性，包括终端存在的弱密码、系统漏洞、风险配置等，减少勒索软件的进入途径；同时，可提供无感知桌面文档自动备份机制，可对日常编辑的文件进行及时备份，当勒索发生后，能有效保护备份区的文件不被加密。

然而安全设备产生的告警，仅仅是复杂的攻击链其中一环，只有关联每一步攻击行为，才能发现真实攻击意图，最终快速定位和研判攻击。

该方案通过EDR组件检测已知勒索、发现未知勒索和备份恢复数据，与沙箱进行协同联动，筑牢勒索防护的最后一道防线。同时，借助360 XDR一体机分析总结众多勒索加密的普遍行为，定义异常加密动作的监控与判断方式、触发报警条件及处置动作，提高勒索攻击的识别与防御效果。

当勒索攻击发生后，该方案不但能删除勒索软件，恢复受篡改的文件，还能利用多设备互相关联和印证进行攻击溯源分析，将用户业务与云、管、端告警和情报结合，还原勒索攻击全貌，对非法者的攻击路径进行层层剖析，在最短时间内还原出完整的攻击链路图，帮助用户厘清受影响的资产，为客户提供全面、专业的分析结论并提出针对性建设意见。

据统计，自上线后，该方案帮助客户实现云地协同7*24小时持续监测，释放运营压力的同时，响应处置效率提升至以“分钟”为单位，平均5分钟响应、2小时闭环。