Rhysida 勒索病毒攻击医护行业警示

关键要点

Rhysida 勒索病毒组织宣称对 Prospect Medical Holdings 进行网络攻击。该组织盗取了约 1 TB 的文件和 13 TB 的 SQL 数据库，其中包含50万个社会安全号码和患者记录。Rhysida 要求支付 50 个比特币，价值大约 130 万美元，作为赎金。美国卫生与公共服务部 (HHS)早前警告该组织正攻击医疗机构。网络攻击对患者隐私和医疗机构的合规性提出了挑战。

Rhysida 勒索病毒集团最近声称对 Prospect Medical Holdings 的网络攻击负责。该公司本月早些时候在四个州的医院和医疗机构遭受攻击，迫使其关闭系统。根据 Rhysida 的说法，他们已窃取约 1 TB 的文件和一个包含500000个社会安全号码、公司文件和患者记录的13 TB SQL 数据库。该组织威胁称，若不支付50个比特币约130万美元，将出售这些数据。

最近 Rhysida 宣称对此次攻击负责的消息，是基于美国卫生与公共服务部HHS本月早些时候的警告，指出该组织正袭击医疗组织。HHS描述 Rhysida 是一个自2023年5月以来新出现的勒索病毒即服务RaaS组织，该组织通过网络钓鱼攻击和 Cobalt Strike 进入目标网络并投放其恶意程序。该组织在受害者不支付赎金的情况下，威胁将公开泄露窃取的数据。

目前，Rhysida 仍处于早期阶段，从程序名称 Rhysida01 可以看出其技术尚不成熟，但 HHS 也注意到，该勒索病毒在受影响的文件夹中留下 PDF 说明，说明受害者如何通过其门户网站联系该组织并以比特币支付赎金。

Rhysida 的受害者遍布多个国家，包括西欧、北美和南美以及澳大利亚。该组织主要攻击教育、政府、制造业、科技和管理服务提供商等行业，近期则对此次对 PMH 的攻击表现出对医疗和公共卫生部门的强烈兴趣。

Emily Phelps，Cyware的主任表示，Rhysida并不是第一个宣称承担攻击责任的勒索病毒团伙。“我们对这个威胁组织仍然知之甚少，但作为一个相对年轻的团队，他们很可能通过公开宣称来获得支持和扩展其行动。”

First Health Advisory 的发言人指出，Rhysida 公然在 PMH 网络攻击中承担责任，其实并没有改变停机造成的影响或医疗系统在健康保险可携性和责任法案HIPAA下的责任。如果患者数据确实被泄露或窃取，PMH 在发现后的最大60天内需根据 HIPAA 通知患者和监管机构。然而，First Health Advisory 表示，Rhysida 的指控可能会给 PMH 带来压力，让其在设定的时间表之前作出公开回应。对于公共压力的问题，PMH 可能仍在努力了解威胁的性质、攻击者的进入方式以及哪些数据受到损害。尽管迅速响应可能会暂时平息公众的愤怒，但网络防御者明白，医疗基础设施的复杂性意味着调查需要时间，而问题的答案同样需要时间。First Health Advisory 强调，当前最重要的事情是理解这些行为者的普遍性及其典型战术，而不是给医疗系统施加压力回应网络犯罪分子的指控。

西柚加速器试用

Zimperium 产品战略副总裁 Krishna Vishnubhotla 指出，HIPAA 和 HITRUST 等法规已经实施多年。然而，Vishnubhotla 认为，我们仍然看到不断发生的勒索病毒攻击和数据泄露，造成数百万个人身份信息PII和受保护健康信息PHI记录的损失。“要么是存在掩护提供者的法律漏洞，要么是违反这些规定的后果不够严重，无法改变他们的行为。”Vishnubhotla 说：“实际上，这两种情况似乎同时存在。此外，大多数这些法规集中在保障后端服务器和基础设施的安全，而不关注客户端，比如移动应用程序，这是攻击者进入的最快渠道。再一次，我们看到加密货币在全球范围内受到争议。加密货