與其他關鍵信息基礎設施行業不同，醫療衛生系統更關系到人們的生命安全。醫療行業的特殊性質也使得它們成為攻擊者關注的重點，黑產團隊將成千上萬病人病例、藥方、學術報告等重要醫療衛生資料通過惡意計算機病毒加密成一個不可查看文件，并以此勒索醫院，交贖金還原文件，以此獲得豐厚的回報。常見的攻擊方式有勒索病毒、APT攻擊、漏洞利用等。今天小編根據近期典型的針對醫療衛生行業的勒索攻擊案例，為大家介紹幾種對醫療行業常見的攻擊手段，提供給醫療衛生從業者和公眾參考，引起警惕從而采取必要的措施避免威脅的影響。

1.針對CT機的攻擊

某市中心醫院的一臺CT機，不定時的發生藍屏重啟現象，在對流量進行還原過程中，發現攻擊者對該CT機網段進行了流量嗅探和分析。通過研判，發現多個主機針對該CT機的445端口進行訪問，并建立IPC連接，其被攻擊者使用“永恒之藍”MS17-010高危漏洞發起攻擊，且此前主機存在數個病毒文件，如勒索軟件、木馬等。運維人員已對該CT機進行備份處置。

2.入侵客服服務器

某大學某醫院遭受未知勒索軟件攻擊，根據對內網已知中勒索的服務器進行日志分析，最終定位到源頭機器為客服服務器，并且該機器上存在攻擊者上傳的Mimikatz及抓密碼的記錄，在所有中招機器中發現被加密文件后綴格式為：*. -XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX，并留有勒索文本至服務器內，勒索軟件名為Attention。

3.弱口令登陸外網服務器

某醫院遭受GandCrab攻擊，經過排查分析發現源頭為對外開放的服務器，被黑客通過該服務器弱口令遠程登錄，并獲取到192.168網段服務器的遠程登錄權限，隨后利用該服務器對內網服務器進行IPC暴力破解，在將大量設備的權限獲取完畢后，投放勒索病毒。

4.勒索Linux服務器

某醫藥公司感染Satan勒索病毒，通過對系統文件、進程及日志等分析，發現其Linux服務器被攻擊者通過PUT方式上傳了satan.jsp文件，使用的為Apache Tomcat 遠程代碼執行漏洞（CVE-2017-12615）。對被加密的文件進行排查，被加密文件后綴為.satan_pro，且加密釋放的特征文件為.conn、.crypt和.Ssession，確定為Linux版本的Santan勒索病毒變種Lucky。

5.加密域控主機

某藥業公司，內網出現大量勒索病毒有橫向傳播的跡象，域控已被加密。排查后發現終端被植入勒索病毒加密后綴為：.Rabbit4444，通過查找在 C:\User\xxxx\AppData\Local 下發現加密模塊程序：Rabbit4444.exe ，確認是 Globelmposter 勒索病毒。

6.密碼爆破入侵外網主機3389端口

某醫學檢驗公司遭受Globelmposter勒索軟件攻擊，攻擊者首先通過爆破外網xxxx:3389遠程登陸成功后（即成功登錄10.x.x.x內網地址），利用其地址作為跳板機，對其內網地址進行大量的IPC爆破，爆破成功后，通過登錄RDP進行投毒，投毒后將其樣本清除，并繼續爆破下一臺主機或虛擬機。此外多個衛生院，衛健局/委，以及多個醫院，均被使用上述模式入侵成功，同樣被投放一樣的勒索軟件。

除此之外，通過OA服務器入侵、通過VPN帳號弱口令爆破入侵（某衛生健康委員會，多臺業務服務器被Crysis勒索軟件加密）、定向攻擊也常見的勒索手段。鑒于許多醫療衛生行業的網絡安全防護措施并未健全，人員的安全意識的有待加強，因此在被定向攻擊的時候，往往造成不可挽回的損失。

由于醫院的自身特點，醫院、藥業、醫療器械公司等為了滿足醫療數據長期存儲要求、預防數據病毒等，需要建立統一、安全、可靠的存儲空間，實現醫療數據的長期、低成本、集中存儲。北京金萬維公司的備無憂，通過完善的數據備份系統有效提高信息系統的整體安全，針對醫療行業數據，提供個性化的備份方案，不懼勒索攻擊，有效杜絕因數據丟失而導致的業務中斷或經濟損失等。

備無憂具有數據可用性保障、多賬套自動備份、預防數據病毒、無需專業人員維護等優勢。

備無憂通過集中管理、集中備份等措施，提高數據的安全性，降低存儲成本實現數據云端存儲；

3+1模式的有效數據，實現更長的歷史存儲，為用戶發現問題、解決問題提供更長的時間同期和恢復時間；

對數據備份/恢復/下載/檢測，全過程所有結果通過微信進行提醒，無打擾更方便；

“云+端”的模式實現數據備份/恢復的WEB化管理，無需專業人員，四步操作即可完成備份/恢復；

專業的智能客服平臺“幫我吧”為備無憂提供了可靠的多渠道響應與服務平臺，可以安全有效的將數據備份為醫療單位信息化保駕護航。