黑客组织利用加载器和后门程序针对卫生健康行业机构传播勒索软件

2020年10月28日，美国网络安全企业FireEye公司发布报告称，近期发现部分勒索软件利用加载器和后门程序等恶意程序进行传播。攻击的目标为医院、退休社区和医疗中心。攻击者将带有恶意文档（多为PDF文件）或恶意链接的电子邮件伪装成受害者公司发布的通知、合同、时间表等重要邮件，电子邮件的主题或正文中可能会包含受害者或其雇主的名称，诱使受害者打开附件或链接。受害者点击链接后，经过多次跳转才能达到有效载荷的位置，攻击者通过这种方式绕过电子邮件过滤技术，最后部署RYUK、CONTI、MAZE等勒索软件。 分析人员称，黑客组织近期使用了KEGTAP/BEERBOT、SINGLEMALT/STILLBOT和WINEKEY/CORKBOT等多种恶意程序进行传播勒索软件，这些恶意程序使用相同的命令和控制基础结构通信并且功能相近，但代码重叠很少。在新冠病毒肺炎疫情继续在全球肆虐的背景下，近期非法攻击者对卫生健康行业频繁发动网络攻击，很可能是出于“趁火打劫”的动机。建议我国医院、医疗中心、疾控中心等卫生健康组织采取以下措施予以防范，一是不轻易打开来历不明的电子邮件及附件；二是除非必要情况，禁止使用远程访问；三是定期对重要文件进行非本地备份。