【精選威脅情資 #2】針對健康醫療產業與公共衛生部門的勒索軟體行動

Ransomware Activity Targeting the Healthcare and Public Health Sector

Published in

CyCraft

5 min readDec 17, 2020

奧義智慧團隊長期追蹤國內外資安事件、各種駭侵樣態，並彙整解析全球網路威脅情資來源，提供客戶高品質情資報告。我們將每個月精選出二至三篇情資，整理成部落格與大家分享，有興趣的話歡迎在 Medium 上拍手或從奧義智慧 Facebook 粉絲專頁追蹤最新消息！

追蹤奧義智慧，隨時掌握最新資安動向：https://www.facebook.com/cycrafttechnology

情資描述

2020 年 10 月 29 日，一份由美國網絡安全和基礎建設安全局 (Cybersecurity and Infrastructure Security Agency, CISA)、聯邦調查局 (Federal Bureau of Investigation, FBI) 和衛生與公共服務部 (Department of Health and Human Services, HHS) 共同撰寫的網路安全諮詢報告發布。

該諮詢報告描述了針對健康醫療與公共衛生部門 (Public Health Sector, HPH) 的網路犯罪，以及相關網路犯罪所利用的戰術、技術與程序（Tactic, Techniques, and Procedures，縮寫 TTP）。

受到攻擊的目標 HPH 系統，大多被名為 Trickbot 的惡意程式感染，並因此致使資料外洩、醫療服務被中斷，或受到 Ryuk 勒索軟體的攻擊。

TTP

Ryuk 勒索軟體最早出現在 2018 年 8 月，衍生自 Hermes 2.1 勒索軟體但 Ryuk 移除並取代了 Hermes 的部分功能，例如解除對歐亞地區特定系統發動攻擊的限制。

Ryuk 攻擊者常利用現成的商業化產品或工具，如 Cobalt Strike 和 PowerShell Empire，並用以竊取憑證，並且因使用已排程 Task 和創造服務方式潛伏在受害系統的環境中而聞名。此外，Ryuk 背後的攻擊者利用離地攻擊並盡可能地使用本機內建工具，如 net view、net computers、ping 來定位對應的網路共享、網域控制器、AD 目錄等。

一旦啟動，Ryuk 利用 AES-256 加密檔案、並以 RSA 公鑰加密 AES 金鑰。Ryuk 會丟出一個 .bat 檔案、試圖刪除電腦中所有的備份檔案與 Volume Shadow Copies，以避免受害者在沒有解密程式的情況下還原被加密的檔案。

入侵指標 (IOCs)

Hashes

cb0c1248d3899358a375888bb4e8f3fe
3266352bea7513ac3ead6e7d68661ad3
3925ae7df3328773be923f74d70555e3
40492c178079e65dfd5449bf899413b6
5f7dd3740a3a4ea74e2ee234f6de26aa
d7697d0d692bd883e53036b906108d56
db2766c6f43c25951cdd38304d328dc1
fca20e17ce8c0c3f3c78d82c953472ed

URLs

hxxp://practicedomain.com/rowan/fight%20program/fight/fight/Debug/fight.exe.intermediate.manifest
hxxp://practicedomain.com/rowan/fight%20program/fight1/fight1/Debug/fight1.exe.intermediate.manifest
hxxp://practicedomain.com/rowan/fight%20program/fight2/fight2/Debug/fight2.exe.intermediate.manifest

參考資料

[1] Ransomware Activity Targeting Healthcare and Public Health Sector
[2] MVISION Insights: Ryuk Ransomware Attack Rush to Attribution Misses the Point

關於奧義智慧科技

世界領先 AI 資安公司，以創新 CyCraft AI 技術自動化資安防護，內建進階端點防護 (EDR)、全球威脅情資 (CTI)、網路偵測回應 (NDR) 並整合建構新一代 AI 資安戰情中心，獲得逾五十個政府機關、警政、國防單位，以及三成金融機構、數十家關鍵領域龍頭企業的信賴，市占率國內第一，客戶涵蓋政府機關、金融以及高科技等跨國企業與財星 500 大企業。

2020 年在美國 MITRE ATT&CK® 公開評測獲得最高偵測能力、最少人為介入、最低雜訊等亮眼成績；並獲美國頂尖創投 Momentum Cyber 列入全球資安產業地圖 (CyberScape)。從端點到網路、從調查到阻擋、從自建到託管，CyCraft AIR 涵蓋企業安全所需的一切面向，遵循 F/A/S/T 量化指標，提供客戶主動防禦，達到「威脅，視可而止」。

追蹤奧義智慧，掌握最新資訊安全情報：https://www.facebook.com/cycrafttechnology

想了解奧義智慧科技獲國際頂尖肯定的 AI 資安防護產品與方案，保護您的單位端點不受惡意程式侵襲嗎？歡迎透過 contact@cycarrier.com 直接與我們聯繫！