加利福尼亚州的三城医疗中心遭受网络攻击，勒索软件团伙“INC RANSOM”将窃取的文件发布到暗网

尽管加利福利亚州的三城医疗中心（Tri-City）在 17 天前就恢复了运营并开始运行，但针对 Oceanside 医院的勒索软件勒索活动似乎仍在继续。

本周早些时候，一位网络安全专家在 X（以前称为 Twitter）上的一条推文中指出，臭名昭著的网络勒索者组织“INC RANSOM”在暗网上宣布拥有从医疗保健提供商处窃取的记录，在暗网这个互联网上的匿名角落经常买卖此类信息。

该帖子包含八页印刷版的“证据”，据推测是在 11 月 9 日开始的数字攻击中从三城医院盗取的，这次攻击严重影响了该公立医院区的运营。11 月 27 日，该医院报告说，它已再次开始接受所有救护车的运送，并正在进行攻击期间推迟的选择性手术。

公布的记录包括两份事先授权表，用于要求医疗保险公司批准特定病人的特定手术，表中列出了病人的姓名、电话号码和其他身份信息。这一小批文件中还包括财务记录，但没有说明攻击者掌握了多少记录。

该公告发布在该勒索软件团伙的暗网泄密网站上，虽然”暗网下/AWX“找到并访问了该网站以验证此类记录的存在，但为了避免传播被盗信息，本文不分享具体访问地址。

勒索软件团伙发布的文件并不一定证明黑客进入了三城医疗中心的电子病历系统，因为该系统存储着病人的病程记录、检查结果和医学影像等超敏感数据。

黑客有可能在不访问医疗记录存储库的情况下获取大量个人信息。例如，斯克里普斯健康中心 (Scripps Health) 曾在 2021 年被迫通知近 15 万名患者，他们的一些私人信息在长达一个月的勒索软件攻击中遭到泄露，严重影响了其运营。斯克里普斯表示，虽然据说包括收件人、出生日期、医疗保险信息、医疗记录编号、患者账号以及治疗名称和日期在内的信息都被窃取了，但斯克里普斯医院表示医疗记录仍然是保密的。

但很明显，暗网网站上弹出的通知表明黑客仍在试图勒索该医院。

总部位于西雅图的信息安全咨询公司 Critical Insight 的网络安全顾问杰克·米尔斯坦 (Jake Milstein) 表示，此类帖子的目的是向组织施加压力，要求他们支付赎金，以避免规模更大、更具破坏性的数据转储。而且，即使企业支付了首次赎金请求，也不一定意味着不会进行第二次尝试。

他补充说，这些类型的攻击出现了新的情况。除了威胁公布被盗的私人文件外，勒索软件组织还开始利用这些文件中包含的私人信息作为筹码，有时会给他们所获取记录的患者打电话，并提出非常具体的要求。

“坏人会开始打电话给病人说，‘嘿，我看到你做了整形手术，你做了结肠镜检查，你做了心脏手术，’”米尔斯坦说。“‘如果你不想让我们对你的数据做坏事，这是医院首席执行官的电话号码，给他们打电话，让他​​们支付赎金。’”

他表示，从医疗服务提供商到 K-12 学校等许多组织的数据泄露事件中都出现过这种做法，但另一位专家表示，这些情况“极其”不寻常。

他说，在所有情况下，普通人如果发现自己接到一个人的电话，有人要求他们给受到攻击的组织打电话，他们应该意识到这样做不会改变结果。他说，即使支付了第二笔赎金，敏感数据往往还是会被卖给出价最高的人。

“他们应该记住，当他们接通电话时，他们正在与恐怖分子通话，”米尔斯坦说。“最好不要跟坏人通话，这样不会有什么好结果，最好向医院和当地警方报案。”

鉴于网上发布的有关三城（Tri-City）医疗中心的内容，该顾问表示，最近在那里接受护理的人应该假设他们的一些个人信息已被泄露。

对于任何有可能将医疗信息掌握在网络罪犯手中的人来说，关键是这些信息如果最终被出售，通常会被用来助长医疗保健账单欺诈。它可能会被用来冒充患者，并向健康保险公司或医疗保险机构收取从未提供过的服务的费用。

米尔斯坦说：“如果你有灵活的支出账户或健康储蓄账户，你应该检查它并确保那里收取的所有费用都是合法的。” “您还可以向您的医疗提供者索取您的医疗记录副本，并确保其中的所有内容都是您所做的。”

“你应该在六个月内重复这些检查，并在一年内重复一次。”

信用卡是另一个值得关注的重要领域。被盗的信息可用于以受害者的名义申请额外的信用卡，从而使犯罪分子可以积累大额账单，而当催收机构开始打电话询问受害者从未进行过的消费时，这些账单就会让人崩溃。

可以联系信用机构并“冻结”个人信用，这表明未经其明确同意，不得以该人的名义发放新的信用卡。米尔斯坦说，虽然这可能会使某些活动（例如贷款买房或买车）变得更加麻烦，但以这种方式锁定的好处是可以得到很大回报的，尤其是对孩子们来说。

“如果你有孩子去过该医疗机构，你绝对应该冻结他们的信用，”他说。“你知道，例如，如果你有一个九岁的孩子，他们几年内都不需要申请信用卡，这就意味着，如果发生了什么事情，你可能几年都不会发现。“

“犯罪分子就是利用了这一点；他们利用你不知道孩子的信用情况，所以他们会寻找那些未成年账户，并试图利用它们。”

圣地亚哥网络卓越中心还提醒大家，数字卫生至关重要。该组织强调了四种可以大大减少攻击的做法：

1. 开启多因素身份验证——当受信任的网站和应用程序要求您确认您的身份时，选择加入额外的步骤。
2. 更新您的软件——事实上，如果有的话，打开软件自动更新。坏人会利用系统漏洞，而网络防御者正在努力修复这些漏洞，但他们的工作有赖于我们每个人都用最新的修复程序更新我们的软件。
3. 点击之前请三思——如果它看起来像是网络钓鱼网站，那就很可能是钓鱼网站，而且随着人工智能的发展，网络钓鱼方案只会变得更加复杂。
4. 使用强密码和密码管理器——使用和重复使用简单的密码（1234…）就像锁上门，但将钥匙挂在门把手上。