全球醫(yī)療保健組織因遭受勒索軟件攻擊停機(jī)而承受的業(yè)務(wù)中斷總計(jì)7381天，相當(dāng)于20多年;

有研究發(fā)現(xiàn)20個(gè)不同行業(yè)的平均每分鐘停機(jī)成本估算為8662美元，以此計(jì)算，醫(yī)療保健組織僅因系統(tǒng)停機(jī)就損失了超過(guò)920億美元。

安全內(nèi)參11月18日消息，自2018年以來(lái)，全球已發(fā)生500次公開(kāi)確認(rèn)的針對(duì)醫(yī)療保健組織的勒索軟件攻擊。兇猛的攻勢(shì)導(dǎo)致近13000個(gè)獨(dú)立設(shè)施癱瘓，并影響到近4900萬(wàn)份病患記錄。

總體估算，我們認(rèn)為這些攻擊僅由停機(jī)造成的經(jīng)濟(jì)損失就已超過(guò)920億美元。

勒索軟件攻擊對(duì)各行業(yè)不同組織有著廣泛的破壞力。其不僅能夠?qū)⑾到y(tǒng)加密鎖死，還可能將個(gè)人數(shù)據(jù)置于失竊與被利用的風(fēng)險(xiǎn)之下。而當(dāng)來(lái)到醫(yī)療保健場(chǎng)景，相關(guān)風(fēng)險(xiǎn)將進(jìn)一步提升，關(guān)鍵系統(tǒng)和患者數(shù)據(jù)可能無(wú)法訪問(wèn)，導(dǎo)致嚴(yán)重延誤甚至危及病患生命安全。例如，阿拉巴馬州一項(xiàng)將于本月開(kāi)庭的訴訟就表明，2019年針對(duì)一家醫(yī)院的勒索軟件攻擊已致使一名嬰兒死亡。

下面，本文將探究勒索軟件對(duì)全球醫(yī)療機(jī)構(gòu)的攻擊與影響。美國(guó)研究團(tuán)隊(duì)Comparitech使用全球勒索軟件跟蹤程序采集到的數(shù)據(jù)，探索了勒索軟件在醫(yī)療保健領(lǐng)域引發(fā)的持續(xù)威脅，特別是這些攻擊造成的真實(shí)成本。這次研究只涉及公開(kāi)確認(rèn)的攻擊，所以實(shí)際數(shù)據(jù)可能更加觸目驚心。

圖：2018 年至 2022 年 10 月對(duì)醫(yī)療保健組織的勒索軟件攻擊

圖：醫(yī)療保健勒索軟件攻擊次數(shù)(按組織類(lèi)型劃分)

請(qǐng)注意，某一國(guó)家比其他國(guó)家遭受的攻擊次數(shù)更多，并不一定代表其更易成為攻擊者的“目標(biāo)”。相反，這可能代表著該國(guó)對(duì)勒索軟件攻擊的認(rèn)識(shí)和報(bào)告更加成熟且深入。以美國(guó)為例，各州就有多種數(shù)據(jù)泄露報(bào)告工具和法規(guī)，有助于確認(rèn)攻擊事件。相比之下，其他國(guó)家/地區(qū)可能不存在同類(lèi)工具或法規(guī)。

重要發(fā)現(xiàn)

2018年初至2022年10月期間，我們?cè)谘芯恐邪l(fā)現(xiàn)：

● 共有500起針對(duì)醫(yī)療機(jī)構(gòu)的勒索軟件攻擊；其中2021年攻擊數(shù)量最多，共發(fā)生166起。

● 共12961家獨(dú)立醫(yī)院/診所/組織可能受到攻擊影響。

● 攻擊至少影響到4884萬(wàn)7107份個(gè)人病歷，其中接近半數(shù)(約2000萬(wàn)份)來(lái)自2021年。

● 贖金要求從900美元到2000萬(wàn)美元不等。

● 我們估計(jì)，黑客索取的贖金總額已超過(guò)12億美元。

● 我們估計(jì)，受害者已向黑客支付了近4400萬(wàn)美元贖金。

● 勒索攻擊造成的停機(jī)時(shí)間從幾小時(shí)到七個(gè)月(期間系統(tǒng)無(wú)法滿(mǎn)負(fù)荷運(yùn)轉(zhuǎn))不等。

● 攻擊引發(fā)的平均停機(jī)時(shí)間從2021年和2022年開(kāi)始急劇增加，分別為19.5天和16天。

● 全球勒索軟件引發(fā)的醫(yī)療機(jī)構(gòu)停機(jī)總成本估計(jì)為920億美元。

● Conti、Pysa、Maze、Hive和Vice Society成為占比最高的幾種勒索軟件毒株，前三種在2020/2021年間占據(jù)主導(dǎo)地位，后兩種在2021/2022年間占主導(dǎo)地位。

針對(duì)醫(yī)療保健組織的

逐年/逐月勒索軟件攻擊統(tǒng)計(jì)

如前文提到，2021年是醫(yī)療保健組織遭受勒索軟件攻擊最嚴(yán)重的一年，占自2018年以來(lái)整個(gè)采樣周期內(nèi)所有攻擊的33%(166起)。2020年同樣占比不小，共發(fā)生137起攻擊。

這兩年恰逢新冠疫情大爆發(fā)。由于醫(yī)療機(jī)構(gòu)運(yùn)營(yíng)壓力巨大、資源捉襟見(jiàn)肘，惡意黑客也找到了趁虛而入的方法，例如疲憊的員工們更難發(fā)現(xiàn)包含勒索軟件的網(wǎng)絡(luò)釣魚(yú)郵件。

2022年起，針對(duì)醫(yī)療保健組織的勒索軟件攻擊有所減少，截至10月底共83起。雖然數(shù)量較少，但預(yù)計(jì)這一數(shù)字在未來(lái)幾個(gè)月內(nèi)又會(huì)重新上升，因?yàn)椴簧俟羰窃诎l(fā)生幾個(gè)月后才被公開(kāi)上報(bào)(例如當(dāng)黑客已經(jīng)對(duì)外公布數(shù)據(jù)，或向受影響患者發(fā)出通告時(shí)，相關(guān)機(jī)構(gòu)才被迫承認(rèn))。

攻擊數(shù)量：

● 2022年(截至10月)— 83起

● 2021年 – 166起

● 2020年 – 137起

● 2019年 – 78起

● 2018年 – 36起

受影響的病患記錄數(shù)量：

● 2022年(截至10月)— 535萬(wàn)1462份

● 2021年 – 2000萬(wàn)8774份

● 2020年 – 488萬(wàn)9336份

● 2019年 – 1802萬(wàn)7346份

● 2018年 – 57萬(wàn)189份

平均停機(jī)時(shí)間：

● 2022年(截至10月)– 16.1天

● 2021年 – 19.5天

● 2020年 – 12.3天

● 2019年 – 13.3天

● 2018年 – 2.6天

各年停機(jī)時(shí)長(zhǎng)和相應(yīng)事件數(shù)量(已知部分)：

● 2022年(截至10月)– 514天 (32起事件)

● 2021年 – 974天(50起事件)

● 2020年 – 394天(32起事件)

● 2019年 – 279天(21起事件)

● 2018年 – 13天(5起事件)

估算總停機(jī)時(shí)間(將已知事件的平均值推衍至未知事件算出)：

● 2022年(截至10月) – 1334天

● 2021年 – 3232天

● 2020年 – 1685天

● 2019年 – 1037天

● 2018年 – 94天

估算停機(jī)成本：

● 2022年(截至10月) – 166億美元

● 2021年 – 403億美元

● 2020年 – 210億美元

● 2019年 – 129億美元

● 2018年 – 117億美元

勒索軟件攻擊對(duì)醫(yī)療機(jī)構(gòu)

造成的真實(shí)成本

不同攻擊事件提出的贖金數(shù)額往往存在很大差異，統(tǒng)計(jì)數(shù)字發(fā)現(xiàn)贖金最低可至900美元(法國(guó)伊蘇丹的Centre Hospitalier de la Tour Blanche à Issoudun醫(yī)療中心于2019年上報(bào))，最高則達(dá)到2000萬(wàn)美元(由愛(ài)爾蘭健康服務(wù)局于2021年上報(bào))。造成這種差異的原因，可能是因多數(shù)組織并未透露贖金要求(特別是決定屈服、向黑客支付贖金的組織)，所以抽樣結(jié)果不足以反映整體趨勢(shì)。

只有40起事件報(bào)告中給出的贖金數(shù)字。除以上提到的愛(ài)爾蘭健康服務(wù)局外，其他贖金數(shù)字巨大的事件還包括：

● 以色列Hillel Yaffe醫(yī)療中心——1000萬(wàn)美元：2021年10月，黑客向以色列Hillel Yaffe醫(yī)療中心勒索1000萬(wàn)美元。該中心拒絕付款，整個(gè)恢復(fù)周期持續(xù)了約一個(gè)月。

● 法國(guó)Le Centre Hospitalier Sud Francilien——1000萬(wàn)美元：法國(guó)CHSF在2022年8月收到1000萬(wàn)美元贖金要求。LockBit團(tuán)伙隨后將贖金要求減少至100萬(wàn)美元，但截至本文撰稿時(shí)，受害方仍未付款。目前距離服務(wù)中斷已過(guò)去三周，預(yù)計(jì)將在11月內(nèi)全面恢復(fù)。

● 美國(guó)UF Health Central Florida——500萬(wàn)美元：雖然尚未確認(rèn)受害方是否支付了贖金，但院方已經(jīng)提交一份涉及70萬(wàn)981名患者的數(shù)據(jù)泄露報(bào)告，這似乎表明其沒(méi)有屈服于黑客的壓力。

根據(jù)目前掌握的數(shù)據(jù)，可以看到：

平均勒索金額：

● 年(截至10月) – 188萬(wàn)7058美元

● 2021年 – 579萬(wàn)2857美元

● 2020年 – 69萬(wàn)624美元

● 2019年 – 38萬(wàn)6067美元

● 2018年 – 19400美元

索取的贖金總額(已知部分)：

● 2022年(截至10月)– 1887萬(wàn)美元(10起事件)

● 2021年 – 4055萬(wàn)美元(7起事件)

● 2020年 – 414萬(wàn)美元(6起事件)

● 2019年 – 463萬(wàn)美元(12起事件)

● 2018年 – 97000美元(5起事件)

受害方支付贖金的百分比：

● 2022年(截至10月)– 13%(16起事件中，有2起支付了贖金)

● 2021年 – 9%(35起事件中，有3起支付了贖金)

● 2020年 – 26%(38起事件中，有10起支付了贖金)

● 2019年 – 30%(40起事件中，有12起支付了贖金)

● 2018年 – 36%(14起事件中，有5起支付了贖金)

通過(guò)這些數(shù)字，我們可以估算出：

贖金估算總額：

● 2022年(截至10月)– 1.566億美元

● 2021年 – 9.616億美元

● 2020年 – 9460萬(wàn)美元

● 2019年 – 3010萬(wàn)美元

● 2018年 – 69萬(wàn)8400美元

已支付贖金的估算總額：

● 2022年(截至10月)– 2140萬(wàn)美元

● 2021年 – 無(wú)法確認(rèn)支付贖金總額

● 2020年 –1930萬(wàn)美元

● 2019年 – 270萬(wàn)美元

● 2018年 – 38萬(wàn)5714美元

可以看到，近年來(lái)勒索軟件攻擊提出的贖金要求一路飆升，但能夠確認(rèn)的贖金支付數(shù)額并不算大。隨著人們對(duì)勒索軟件的認(rèn)知不斷提高，更多企業(yè)可能不會(huì)公開(kāi)贖金要求以及是否支付了贖金。畢竟有觀點(diǎn)認(rèn)為，承認(rèn)支付贖金只會(huì)給這些組織招來(lái)更多后續(xù)勒索攻擊。

這一觀點(diǎn)有其事實(shí)支撐。2021年根本無(wú)法確認(rèn)支付贖金總額，而2022年也僅有一筆贖金上報(bào)：惡意黑客對(duì)盧森堡、比利時(shí)和荷蘭的130多處分支機(jī)構(gòu)系統(tǒng)造成嚴(yán)重破壞之后，牙醫(yī)診所Colosseum Dental為此支付了超過(guò)200萬(wàn)美元贖金。

用停機(jī)時(shí)間計(jì)算損失

可以看到，單靠贖金來(lái)計(jì)算勒索軟件攻擊造成的損失非常困難。但我們發(fā)現(xiàn)，此類(lèi)事件中還有另一個(gè)更易于衡量的因素——停機(jī)時(shí)間。

在多數(shù)情況下，勒索軟件攻擊都會(huì)導(dǎo)致系統(tǒng)在數(shù)小時(shí)、數(shù)天、數(shù)周甚至數(shù)月之內(nèi)無(wú)法訪問(wèn)。在某些極端情況下，系統(tǒng)甚至無(wú)法恢復(fù)正常。

從前文數(shù)據(jù)可以看到，我們整理到共140個(gè)實(shí)體的停機(jī)時(shí)間，總停機(jī)時(shí)長(zhǎng)為2174天，相除計(jì)算得出每起攻擊事件的平均停機(jī)時(shí)長(zhǎng)。以此為依據(jù)，即可估算出所有上報(bào)勒索軟件攻擊的停機(jī)總時(shí)長(zhǎng)——結(jié)果為，全球醫(yī)療保健組織因停機(jī)而承受的業(yè)務(wù)中斷總計(jì)7381天，相當(dāng)于20多年。

2017年的一項(xiàng)研究發(fā)現(xiàn)，20個(gè)不同行業(yè)的平均每分鐘停機(jī)成本估算為8662美元。按同樣的標(biāo)準(zhǔn)計(jì)算，醫(yī)療保健組織僅因系統(tǒng)停機(jī)就損失了超過(guò)920億美元。

盡管這個(gè)數(shù)字看似巨大，但從部分醫(yī)療機(jī)構(gòu)在遭受攻擊后披露的信息來(lái)看，好像也不是那么夸張。

例如，愛(ài)爾蘭健康服務(wù)局就透露，在攻擊發(fā)生之后，他們花費(fèi)了21億美元升級(jí)其IT系統(tǒng)。2021年針對(duì)美國(guó)Scripps Health的攻擊也造成了超1.12億美元損失。

針對(duì)醫(yī)療機(jī)構(gòu)的勒索軟件攻擊

仍是一大突出威脅

盡管2022年針對(duì)醫(yī)療保健組織的勒索攻擊數(shù)量有所下降，但這并不代表威脅程度有所降低?？梢钥吹綈阂夂诳吞岢龅内H金數(shù)字和造成的停機(jī)時(shí)間愈發(fā)可觀，而且黑客可能也在選取更具針對(duì)性的攻擊方法，確保用更廣泛的破壞力提升收到贖金的機(jī)率。

此外，針對(duì)系統(tǒng)進(jìn)行加密鎖定和數(shù)據(jù)竊取的“雙重勒索”也愈發(fā)多見(jiàn)。即使受害實(shí)體能夠利用備份快速恢復(fù)系統(tǒng)，惡意黑客仍然掌握著大量病患私人數(shù)據(jù)，足以強(qiáng)迫企業(yè)選擇接受談判。而且即使企業(yè)方最終拒絕支付贖金，出售這些數(shù)據(jù)也可能給黑客帶來(lái)巨額利潤(rùn)。

勒索軟件攻擊有所減少的另一個(gè)原因(此趨勢(shì)在美國(guó)乃至全球各行業(yè)均有體現(xiàn))在于，組織對(duì)于遭受攻擊的態(tài)度越來(lái)越“低調(diào)”。隨著人們對(duì)勒索攻擊認(rèn)知的增加，受影響實(shí)體不太愿意以坦誠(chéng)的態(tài)度上報(bào)此類(lèi)事件。這一方面源自遭受勒索軟件攻擊帶來(lái)的恥辱感，另外也是擔(dān)心會(huì)在未來(lái)招致更多攻擊。

研究方法

從勒索軟件攻擊圖譜中的數(shù)據(jù)來(lái)看，我們?cè)谘芯恐泄舶l(fā)現(xiàn)了500起針對(duì)醫(yī)療保健組織的勒索軟件攻擊。結(jié)合數(shù)據(jù)內(nèi)容，我們最終估算出了贖金總額、是否支付贖金以及造成的停機(jī)時(shí)間。

對(duì)于未給出具體停機(jī)數(shù)字的事件，例如“數(shù)日”、“一個(gè)月”或“六周后已恢復(fù)至80%”，我們會(huì)根據(jù)數(shù)字的下限進(jìn)行估算。例如，“數(shù)日”計(jì)為3天，“一個(gè)月”計(jì)為攻擊發(fā)生當(dāng)月的總天數(shù)，“六周后已恢復(fù)至80%”則直接計(jì)為六周。

對(duì)于受勒索攻擊事件影響的組織，我們將其整理為17種具體類(lèi)型，定義如下：

● 學(xué)術(shù)性醫(yī)院

● 救護(hù)服務(wù)

● 診所：提供全方位醫(yī)療保健服務(wù)的診所

● 診所網(wǎng)絡(luò)：由多家診所組成的體系，提供全方位的醫(yī)療保健服務(wù)

● 牙醫(yī)診所：提供牙科保健服務(wù)的診所

● 政府衛(wèi)生部門(mén)：受健康相關(guān)數(shù)據(jù)泄露影響的一般政府部門(mén)/實(shí)體，例如人類(lèi)衛(wèi)生服務(wù)部/州政府

● 家庭/老年護(hù)理：包括在當(dāng)?shù)厣鐓^(qū)提供社會(huì)服務(wù)的組織

● 醫(yī)院

● 醫(yī)院網(wǎng)絡(luò)：由多家醫(yī)院組成的體系，提供全方位的醫(yī)療保健服務(wù)

● 實(shí)驗(yàn)室：以醫(yī)療健康為基礎(chǔ)的實(shí)驗(yàn)室業(yè)務(wù)

● 心理健康：為成癮性等精神疾病提供支持的服務(wù)機(jī)構(gòu)

● 驗(yàn)光診所：提供眼科保健服務(wù)的診所

● 藥房：專(zhuān)門(mén)提供藥品的組織/網(wǎng)絡(luò)

● 康復(fù)服務(wù)

● 醫(yī)療研究機(jī)構(gòu)

● 專(zhuān)科診所：面向特定醫(yī)療保健領(lǐng)域的診所，例如內(nèi)科診所或康復(fù)中心

● 專(zhuān)科診所網(wǎng)絡(luò)：同上，但擁有多家診所/多個(gè)運(yùn)營(yíng)地點(diǎn)

數(shù)據(jù)研究人員: Charlotte Bond、Rebecca Moody

參考資料：comparitech.com

文章來(lái)源：安全內(nèi)參