医疗保健行业不再旋转流失,但它仍处于危急状态。

虽然医疗保健中的许多组织都针对或使积极进入更强大的网络安全和隐私姿势,但他们仍然有很长的路要走。

2018年,与其他行业相比,医疗保健行业的入侵记录数量最多。这是根据贝克霍斯特勒的说法2019年数据安全事件响应报告,这是今年的第五届年度迭代。

即使在今天,黑帽黑客仍在继续追踪病人的医疗数据违规只会加剧根据商业内幕的说法。HIPAA日报是一家致力于涵盖HIPAA相关新闻的网站,在2019年1月至3月的每天至少有一个违约之后证实了这种强度。

是什么导致了这些每日入侵?

黑客和IT事件包括恶意软件攻击,一直始终打开该清单。

医疗保健行业中的恶意软件

医疗保健在很多安全措施上都存在不足:无分区网络,依赖遗留基础设施不符合HIPAA安全规则和NIST CSF控件,非托管IOT设备,弱势医疗管理应用程序政府推荐的IT和网络安全措施实施缓慢过去的四年里,还有缺乏电子邮件身份验证和低采用始终加密的会话.首先。

更重要的是,医疗保健系统易于对恶意软件感染和劫持感染,因为几乎没有保护的保护。当威胁在医疗保健的威胁更先进时,所有滞后安全的所有这些都会收费。

那么针对医疗机构的恶意软件类型是什么呢?我们已经整理和分析了来自我们自己的产品遥测技术的数据以确定旨在感染系统和网络,窃取病人数据,扰乱行动的头号恶意软件。这是我们的结果。

特洛伊木马和风险软件在医疗保健系统上很常见

恶意和危险的文件在全球瘟疫医疗保健系统

在我们发现影响医疗保健系统的五种恶意软件中,超过四分之三(79%)是特洛伊木马.这是风险软件(11%) - 软件,这些软件并不固有恶意,但仍然可能对安装的系统构成风险。其他人是赎金书软件,间谍软件和蠕虫 - 所有份额平等占3%。

我们深深潜入了每个人。

特洛伊木马

基于我们的数据,在医疗保健系统上存在一个大量的信息窃取特洛伊木马和下载者,以及摆在合法的Microsoft(MS)文件的文件。我们发现它们是trojan.emotet.(35%)和木马。FakeMS(33%)分别。

在医疗保健中检测到的前6名特洛伊木马,带有特洛伊木马。

情绪化是一种信息窃取者,它可以锁定存储在浏览器中的用户凭据并监听网络流量。已知的新版本Emotet可以充当下载程序,删除其他银行木马程序,比如涓涓细刻QAKBOT.,勒索沃特,如琉克,以及,有时,加密术和Cryptowallet偷窃者。

由于其简单,但经过了真正的交付方法,柔软体在穿透组织和传播方面取得了成功 -网络钓鱼电子邮件- 以及它使用呼叫的NSA漏洞EternalBlue.它通过网络将感染横向推进。此外,Emotet还包含自己的垃圾邮件模块,该模块会大量制造额外的网络钓鱼,以继续这种循环。

为了增加伤害,一次在网络上,令人难以置信的难以修复。

一般而言,信息窃贼在医疗保健系统中具有特别危险的,因为他们将电子健康记录(EHRS)造成风险。员工凭据也可以被威胁演员刷新并重新使用,以获得更多信息和资源,他们可以使用,滥用或销售到黑暗市场中最高投标人。

Emotet已经广泛影响了医疗保险、医院、制药、生物技术和医疗设备行业。事实上,在过去的一年中,这种威胁在所有组织中都得到了持续的发展,在持久性和数量上都比去年同期增加了近650%。

另一方面,Trojan.fakems是我们使用的探测器,用于恶意软件作为合法的Microsoft文件。医疗保健人员可能会或可能没有意识到最终完成工作系统的文件。无论哪种方式,他们在工作人员依赖于处理敏感记录或在关键时期提取正确患者数据的机器上的存在并不是理想的。

同时,我们有时被发现为特洛伊木马的加密术感染,通常将机器放缓作为常见的症状,17%的医疗保健系统已经显示出这个标志。

可能或可能不是医疗保健工作人员的密码计划人员可以手动下载我们经常检测到的矿工Trojan.BitCoinminer.,从互联网和谨慎地将它们安装到用于记录保存的机器上。这种资源滥用就是这样的Decatur县综合医院2017年9月,他们的电子医疗记录(EMR)服务器被劫持,用来关押一名矿工。

Riskware

如前所述,风险软件是非恶意的;但是,我们国旗它许多原因,其中一个是它阻止其他程序接收补丁的能力。这使用户的机器开放,以便通过许多威胁开放,包括上面提到的EternalBlue。

RiskWare。MicTray占多种医疗领域的98%,主要是在健康保险和药品中。MICTRAY是我们对Conexant音频驱动程序集中存在的Keylogger组件的检测的名称。

剩下的2%的检测是为了Riskware.Tool.HCK,在某些国家使用可能是非法的工具或应用程序的名称。破解版付费软件就是一个例子。

勒索制造器

ransom.wannacrypt.,否则被称为Wannacry,是责任在2017年削减英国国家卫生服务(NHS)的赎金软件总共9200万英镑(大约120万美元)由于未能可执行的制度而非可执行的委员会进行补救和IT系统升级。它也是迫使医疗保健行业的恶意软件认真对待网络安全和隐私。

超过一年后,卫纳克里仍然很大,并继续影响跨行业和国家的组织,扰乱正常运营,将患者的生命和危险的数据放在风险上。

赎金。WannaCrypt赎金注意

我们的数据显示,WannaCry目前是影响医疗保健的五大恶意软件家族之一。这也可能意味着大量系统仍然对永恒之蓝漏洞开放,等待被利用。

间谍软件

当涉及医疗保健中的间谍软件时,Spyware.trickbot和Spyware.emotet将检测计数为45%。spyware.agent.占我们在医疗领域发现的间谍软件总数的10%

在医疗保健中检测到的前3个间谍软件,带有间谍软件.TRICKBOT领先。

作为Trojan.trickbot和Trojan.emotet的二次感染,在医疗保健系统上看到TrickBot和Modet Spyware并不奇怪。普通用户几乎没有注意到这些信息如何窃取模块在后台工作;但是,网络管理员可能能够将奇数连接点到黑名单的域作为尝试达到命令和控制(C&C)服务器来上传被盗数据。

蠕虫

蠕虫.Parite.,我们使用的检测名称多态文件indector定位可执行程序(以.exe中结尾的文件)和屏幕保护程序(结束的文件)。可控硅),是唯一一个影响生物技术/医疗领域的同类系统。

关于Parite需要注意的一点是,它感染的系统可能不会显示出任何明显的感染迹象——至少一开始是这样。一旦用户执行了受感染的文件,附加在该文件上的病毒代码就会运行,然后将控制传递回.exe或.scr文件,使其正常执行。

如果用户不解决蠕虫或病毒感染,则该系统面临其他恶意软件的进一步感染和开发的风险。

哦,还有一件事:无用的恶意软件

无文件恶意软件是黑帽黑客采用的新方案之一几年前,他们继续以不断增加的速度来这样做。

无用的感染意味着受影响系统上存在的实际恶意软件的痕迹是如此分钟,即它避免常规的防病毒检测,并使样品的工作成为安全分析师的挑战。

我们的遥测数据透露,虽然名义无用的恶意软件存在于医疗组织系统中,但其中包括健康保险和药业部门。

我们能够检测为截图为的无线感染rootkit.fileless.mtgen..它们是我们对使用rootkits隐藏在受影响系统上的唯一存在的无纺布恶意软件的广泛检测。

多年来看过的无用恶意软件的一些例子包括以下内容,我们在下面的列表中舍入:

没有更好的时间来行动

医疗保健行业充满了机会。尽管它正在努力解决网络安全和隐私挑战,但它继续通过拥抱创新的技术来发展 - 例如区块链虚拟现实, 和人工智能- 并采用新型号更好地为患者提供服务。当然,添加新技术有时可以使保护系统比已经更复杂。

尽管医疗保健组织计划继续前进,但他们仍然不能忽视两个简单的目标:防止恶意软件、零日漏洞和硬件黑客攻击的系统和设备的安全性,以及保护患者医疗保健数据免受窃贼和恶意内部人士的侵害。

在4月中旬,本吉翁大学的研究人员发布了他们的恶意篡改CT扫描的研究使用深度学习人工智能。根据他们的论文,他们成功地演示了威胁行动者如何在扫描中删除或添加医疗状况的证据。他们使用了一个中间人设备,这是另一台装载恶意软件的电脑,以获取CT扫描,并向医疗设备提供虚假信息。如果这种技术在野外使用,人们的医疗记录和治疗计划将面临风险,危及他们的整体健康。

实际上,医疗组织有很多追赶,以保护自己免受在线威胁,这些威胁继续在复杂程度上增长。在这个扇区内的股份比几乎任何其他人都有更多。如果网络安全被违反,这不仅仅是潜在的盈利或敏感数据。患者的生命受到威胁。

为了保持上述目标,我们建议医疗组织访问这些指南以塑造安全姿势:

保持安全!