医療機関とHIVEランサムウェアの比較:自分自身を守る方法
多くのランサムウェアギャングは、ランサムウェアの亜種を使って医療機関を標的にすることを控えていますが、医療機関もランサムウェアと無縁ではありません。理由は、医療機関への攻撃は特に注目度が高く、生命を脅かす可能性があるためです。
ランサムウェア による攻撃は、2020 年に 210 億ドルの損害を与えたと推定されており、92 件のランサムウェア攻撃が 600 以上の医療機関に影響を与え、1,800 万件以上の患者記録が漏洩したとされています。
攻撃は、患者、医療従事者、そして組織の健康と福祉に深刻な影響を与えるもので、現在も発生しています。また、サイバー犯罪者が攻撃対象を拡大し、影響を受けやすいターゲットを探し始めているため、さらに多くのネットワーク、病院、診療所が標的になる可能性があります。
AvosLocker は、特に医療機関を標的とした新しいランサムウェアの亜種の1つです。AvosLocker は、ネットワークに感染してすぐに機能を停止させる他のランサムウェアとは異なり、ユーザーの画面に表示されるコマンドプロンプトのウィンドウ内で各ファイルをゆっくりと暗号化し、システムを乗っ取る際に高い心理的ダメージを与えます。ユーザーは、自分の環境に何が起こっているかをリアルタイムで見ることができますが、攻撃を阻止するために何もすることができません。
このランサムウェアは非常に効率的に動作しますが、分析ツールを死滅させるわけではありません。実際、ProcMon は暗号化プロセスからキャプチャ全体を保存することができました。これは、対策としてツールやプログラムのインストールや実行をブロックする他のランサムウェアの系統とは異なります。
医療分野におけるもう 1 つの最近の脅威は、2021 年 6 月に初めて登場して以来、小さな波紋を呼び始めた HIVE です。Lockbit 2.0 や REvil と同様に、これは二重の恐喝ベースのランサムウェアで、C2機 能として Cobalt Strike Beacon に大きく依存しています。
HIVE ランサムウェアの興味深い点の 1 つは、医療業界を攻撃するために容赦なく使用されていることですが、これは他の APT グループが上記の理由から激しく反対している行為です。
HIVEとMemorial Health System
HIVE は、8 月にオハイオ州のMemorial Health System社の病院を襲った事件の犯人であり、FBI は医療機関に対して同様の攻撃に備えるよう警告しています。HIVEは、身代金要求の一環として、「Shadow.bat」と呼ばれるバッチファイルをダウンロードし、すべてのシャドウコピーを削除した後、自分自身をマシンから削除します。これは、システムの復元を防ぐためのものです。もしあなたの組織が外部バックアップをとっていない場合、データにアクセスするには復号化ユーティリティーに頼ることになります。
このランサムウェアは、サイバーチームに、すべてのファイルが暗号化される様子を、コマンドウィンドウを介してライブで見させるという、AvosLocker と同じ心理的なトリックも採用しています。ただし、AvosLocker とは異なり、ProcMon などの解析ユーティリティーなど、実行中のアプリケーションを完全に殺してしまいます。
HIVE ランサムウェアからの完全な保護
すべての医療機関は、マルウェアやその他の脅威に対するセキュリティスタックの保護を徹底して行っていますが、医療機関のセキュリティ専門家は、これらの既知の脅威を阻止できるツールを採用する必要があります。
医療機関がランサムウェアの脅威から完全に保護するためには、予防第一の考え方を採用する必要があります。人の命がかかっているときに、情報漏えいは許されることではありません。
Deep Instinctはディープラーニングを活用した予測モデルによって、これらの脅威をも予防しています。