- 全球医疗保健组织因遭受勒索软件攻击停机而承受的业务中断总计7381天,相当于20多年;
- 有研究发现20个不同行业的平均每分钟停机成本估算为8662美元,以此计算,医疗保健组织仅因系统停机就损失了超过920亿美元。
前情回顾·勒索软件大爆炸
安全内参11月18日消息,自2018年以来,全球已发生500次公开确认的针对医疗保健组织的勒索软件攻击。凶猛的攻势导致近13000个独立设施瘫痪,并影响到近4900万份病患记录。
总体估算,我们认为这些攻击仅由停机造成的经济损失就已超过920亿美元。
勒索软件攻击对各行业不同组织有着广泛的破坏力。其不仅能够将系统加密锁死,还可能将个人数据置于失窃与被利用的风险之下。而当来到医疗保健场景,相关风险将进一步提升,关键系统和患者数据可能无法访问,导致严重延误甚至危及病患生命安全。例如,阿拉巴马州一项将于本月开庭的诉讼就表明,2019年针对一家医院的勒索软件攻击已致使一名婴儿死亡。
下面,本文将探究勒索软件对全球医疗机构的攻击与影响。美国研究团队Comparitech使用全球勒索软件跟踪程序采集到的数据,探索了勒索软件在医疗保健领域引发的持续威胁,特别是这些攻击造成的真实成本。这次研究只涉及公开确认的攻击,所以实际数据可能更加触目惊心。
图:2018 年至 2022 年 10 月对医疗保健组织的勒索软件攻击
图:医疗保健勒索软件攻击次数(按组织类型划分)
请注意,某一国家比其他国家遭受的攻击次数更多,并不一定代表其更易成为攻击者的“目标”。相反,这可能代表着该国对勒索软件攻击的认识和报告更加成熟且深入。以美国为例,各州就有多种数据泄露报告工具和法规,有助于确认攻击事件。相比之下,其他国家/地区可能不存在同类工具或法规。
重要发现
2018年初至2022年10月期间,我们在研究中发现:
共有500起针对医疗机构的勒索软件攻击;其中2021年攻击数量最多,共发生166起。
共12961家独立医院/诊所/组织可能受到攻击影响。
攻击至少影响到4884万7107份个人病历,其中接近半数(约2000万份)来自2021年。
赎金要求从900美元到2000万美元不等。
我们估计,黑客索取的赎金总额已超过12亿美元。
我们估计,受害者已向黑客支付了近4400万美元赎金。
勒索攻击造成的停机时间从几小时到七个月(期间系统无法满负荷运转)不等。
攻击引发的平均停机时间从2021年和2022年开始急剧增加,分别为19.5天和16天。
全球勒索软件引发的医疗机构停机总成本估计为920亿美元。
Conti、Pysa、Maze、Hive和Vice Society成为占比最高的几种勒索软件毒株,前三种在2020/2021年间占据主导地位,后两种在2021/2022年间占主导地位。
针对医疗保健组织的逐年/逐月勒索软件攻击统计
如前文提到,2021年是医疗保健组织遭受勒索软件攻击最严重的一年,占自2018年以来整个采样周期内所有攻击的33%(166起)。2020年同样占比不小,共发生137起攻击。
这两年恰逢新冠疫情大爆发。由于医疗机构运营压力巨大、资源捉襟见肘,恶意黑客也找到了趁虚而入的方法,例如疲惫的员工们更难发现包含勒索软件的网络钓鱼邮件。
2022年起,针对医疗保健组织的勒索软件攻击有所减少,截至10月底共83起。虽然数量较少,但预计这一数字在未来几个月内又会重新上升,因为不少攻击是在发生几个月后才被公开上报(例如当黑客已经对外公布数据,或向受影响患者发出通告时,相关机构才被迫承认)。
攻击数量:
2022年(截至10月)— 83起
2021年 – 166起
2020年 – 137起
2019年 – 78起
2018年 – 36起
受影响的病患记录数量:
2022年(截至10月)— 535万1462份
2021年 – 2000万8774份
2020年 – 488万9336份
2019年 – 1802万7346份
2018年 – 57万189份
平均停机时间:
2022年(截至10月)– 16.1天
2021年 – 19.5天
2020年 – 12.3天
2019年 – 13.3天
2018年 – 2.6天
各年停机时长和相应事件数量(已知部分):
2022年(截至10月)– 514天 (32起事件)
2021年 – 974天(50起事件)
2020年 – 394天(32起事件)
2019年 – 279天(21起事件)
2018年 – 13天(5起事件)
估算总停机时间(将已知事件的平均值推衍至未知事件算出):
2022年(截至10月) – 1334天
2021年 – 3232天
2020年 – 1685天
2019年 – 1037天
2018年 – 94天
估算停机成本:
2022年(截至10月) – 166亿美元
2021年 – 403亿美元
2020年 – 210亿美元
2019年 – 129亿美元
2018年 – 117亿美元
勒索软件攻击对医疗机构造成的真实成本
不同攻击事件提出的赎金数额往往存在很大差异,统计数字发现赎金最低可至900美元(法国伊苏丹的Centre Hospitalier de la Tour Blanche à Issoudun医疗中心于2019年上报),最高则达到2000万美元(由爱尔兰健康服务局于2021年上报)。造成这种差异的原因,可能是因多数组织并未透露赎金要求(特别是决定屈服、向黑客支付赎金的组织),所以抽样结果不足以反映整体趋势。
只有40起事件报告中给出的赎金数字。除以上提到的爱尔兰健康服务局外,其他赎金数字巨大的事件还包括:
以色列Hillel Yaffe医疗中心——1000万美元:2021年10月,黑客向以色列Hillel Yaffe医疗中心勒索1000万美元。该中心拒绝付款,整个恢复周期持续了约一个月。
法国Le Centre Hospitalier Sud Francilien——1000万美元:法国CHSF在2022年8月收到1000万美元赎金要求。LockBit团伙随后将赎金要求减少至100万美元,但截至本文撰稿时,受害方仍未付款。目前距离服务中断已过去三周,预计将在11月内全面恢复。
美国UF Health Central Florida——500万美元:虽然尚未确认受害方是否支付了赎金,但院方已经提交一份涉及70万981名患者的数据泄露报告,这似乎表明其没有屈服于黑客的压力。
根据目前掌握的数据,可以看到:
平均勒索金额:
2022年(截至10月) – 188万7058美元
2021年 – 579万2857美元
2020年 – 69万624美元
2019年 – 38万6067美元
2018年 – 19400美元
索取的赎金总额(已知部分):
2022年(截至10月)– 1887万美元(10起事件)
2021年 – 4055万美元(7起事件)
2020年 – 414万美元(6起事件)
2019年 – 463万美元(12起事件)
2018年 – 97000美元(5起事件)
受害方支付赎金的百分比:
2022年(截至10月)– 13%(16起事件中,有2起支付了赎金)
2021年 – 9%(35起事件中,有3起支付了赎金)
2020年 – 26%(38起事件中,有10起支付了赎金)
2019年 – 30%(40起事件中,有12起支付了赎金)
2018年 – 36%(14起事件中,有5起支付了赎金)
通过这些数字,我们可以估算出:
赎金估算总额:
2022年(截至10月)– 1.566亿美元
2021年 – 9.616亿美元
2020年 – 9460万美元
2019年 – 3010万美元
2018年 – 69万8400美元
已支付赎金的估算总额:
2022年(截至10月)– 2140万美元
2021年 – 无法确认支付赎金总额
2020年 –1930万美元
2019年 – 270万美元
2018年 – 38万5714美元
可以看到,近年来勒索软件攻击提出的赎金要求一路飙升,但能够确认的赎金支付数额并不算大。随着人们对勒索软件的认知不断提高,更多企业可能不会公开赎金要求以及是否支付了赎金。毕竟有观点认为,承认支付赎金只会给这些组织招来更多后续勒索攻击。
这一观点有其事实支撑。2021年根本无法确认支付赎金总额,而2022年也仅有一笔赎金上报:恶意黑客对卢森堡、比利时和荷兰的130多处分支机构系统造成严重破坏之后,牙医诊所Colosseum Dental为此支付了超过200万美元赎金。
用停机时间计算损失
可以看到,单靠赎金来计算勒索软件攻击造成的损失非常困难。但我们发现,此类事件中还有另一个更易于衡量的因素——停机时间。
在多数情况下,勒索软件攻击都会导致系统在数小时、数天、数周甚至数月之内无法访问。在某些极端情况下,系统甚至无法恢复正常。
从前文数据可以看到,我们整理到共140个实体的停机时间,总停机时长为2174天,相除计算得出每起攻击事件的平均停机时长。以此为依据,即可估算出所有上报勒索软件攻击的停机总时长——结果为,全球医疗保健组织因停机而承受的业务中断总计7381天,相当于20多年。
2017年的一项研究发现,20个不同行业的平均每分钟停机成本估算为8662美元。按同样的标准计算,医疗保健组织仅因系统停机就损失了超过920亿美元。
尽管这个数字看似巨大,但从部分医疗机构在遭受攻击后披露的信息来看,好像也不是那么夸张。
例如,爱尔兰健康服务局就透露,在攻击发生之后,他们花费了21亿美元升级其IT系统。2021年针对美国Scripps Health的攻击也造成了超1.12亿美元损失。
针对医疗机构的勒索软件攻击仍是一大突出威胁
尽管2022年针对医疗保健组织的勒索攻击数量有所下降,但这并不代表威胁程度有所降低。可以看到恶意黑客提出的赎金数字和造成的停机时间愈发可观,而且黑客可能也在选取更具针对性的攻击方法,确保用更广泛的破坏力提升收到赎金的机率。
此外,针对系统进行加密锁定和数据窃取的“双重勒索”也愈发多见。即使受害实体能够利用备份快速恢复系统,恶意黑客仍然掌握着大量病患私人数据,足以强迫企业选择接受谈判。而且即使企业方最终拒绝支付赎金,出售这些数据也可能给黑客带来巨额利润。
勒索软件攻击有所减少的另一个原因(此趋势在美国乃至全球各行业均有体现)在于,组织对于遭受攻击的态度越来越“低调”。随着人们对勒索攻击认知的增加,受影响实体不太愿意以坦诚的态度上报此类事件。这一方面源自遭受勒索软件攻击带来的耻辱感,另外也是担心会在未来招致更多攻击。
研究方法
从勒索软件攻击图谱中的数据来看,我们在研究中共发现了500起针对医疗保健组织的勒索软件攻击。结合数据内容,我们最终估算出了赎金总额、是否支付赎金以及造成的停机时间。
对于未给出具体停机数字的事件,例如“数日”、“一个月”或“六周后已恢复至80%”,我们会根据数字的下限进行估算。例如,“数日”计为3天,“一个月”计为攻击发生当月的总天数,“六周后已恢复至80%”则直接计为六周。
对于受勒索攻击事件影响的组织,我们将其整理为17种具体类型,定义如下:
学术性医院
救护服务
诊所:提供全方位医疗保健服务的诊所
诊所网络:由多家诊所组成的体系,提供全方位的医疗保健服务
牙医诊所:提供牙科保健服务的诊所
政府卫生部门:受健康相关数据泄露影响的一般政府部门/实体,例如人类卫生服务部/州政府
家庭/老年护理:包括在当地社区提供社会服务的组织
医院
医院网络:由多家医院组成的体系,提供全方位的医疗保健服务
实验室:以医疗健康为基础的实验室业务
心理健康:为成瘾性等精神疾病提供支持的服务机构
验光诊所:提供眼科保健服务的诊所
药房:专门提供药品的组织/网络
康复服务
医疗研究机构
专科诊所:面向特定医疗保健领域的诊所,例如内科诊所或康复中心
专科诊所网络:同上,但拥有多家诊所/多个运营地点
数据研究人员: Charlotte Bond、Rebecca Moody
参考资料:https://www.comparitech.com/blog/vpn-privacy/worldwide-healthcare-ransomware-attacks/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。