自2018年以來,全球已發生500次公開確認的針對醫療照護機構的勒索軟體攻擊,導致全球近13000個設施癱瘓,並影響到近4900萬份病患記錄。
總體估算,Comparitech認為這些攻擊僅由停機造成的經濟損失就已超過920億美元。
勒索軟體攻擊對各行各業有強大的破壞力。出現在醫療照護場景,相關風險將關係著醫療作業系統和患者資料可能無法存取,而導致嚴重延誤,危及病患生命安全。如2019年美國阿拉巴馬州針對一家醫院的勒索軟體攻擊導致一名嬰兒死亡。
本文將探究勒索軟體對全球醫療機構的攻擊與影響,美國研究團隊Comparitech使用全球勒索軟體追蹤程式收集資料,了解勒索軟體在醫療保健領域引發的持續威脅及這些攻擊造成的真實成本。本報告只研究公開確認的攻擊,實際資料可能更加觸目驚心。
重要發現
2018年初至2022年10月期間,Comparitech在研究中發現:
- 共有500起針對醫療機構的勒索軟體攻擊;其中2021年攻擊數量最多,共發生166起。
- 共12961家獨立醫院/診所/組織可能受到攻擊影響。
- 攻擊至少影響到4884萬7107份個人病歷,其中接近半數(約2000萬份)來自2021年。
- 贖金要求從900美元到2000萬美元不等。
- Comparitech估計,駭客索取的贖金總額已超過12億美元。
- Comparitech估計,受害者已向駭客支付了近4400萬美元贖金。
- 勒索攻擊造成的停機時間從幾小時到七個月(期間系統無法滿負荷運轉)不等。
- 攻擊引發的平均停機時間從2021年和2022年開始急劇增加,分別為19.5天和16天。
- 全球勒索軟體引發的醫療機構停機總成本估計為920億美元。
- Conti、Pysa、Maze、Hive和Vice Society成為占比最高的幾種勒索軟體毒株,前三種在2020/2021年間佔據主導地位,後兩種在2021/2022年間占主導地位。
如前文提到,2021年是醫療照護機構遭受勒索軟體攻擊最嚴重的一年,占自2018年以來整個採樣週期內所有攻擊的33%(166起)。2020年同樣占比不小,共發生137起攻擊。
這兩年恰逢新冠疫情大爆發。由於醫療機構運營壓力巨大、資源捉襟見肘,惡意駭客也找到了趁虛而入的方法,例如疲憊的員工們更難發現含有勒索軟體的網路釣魚郵件。
2022年起,針對醫療照護機構的勒索軟體攻擊有所減少,截至10月底共83起。雖然數量較少,但預計這一數字在未來幾個月內又會重新上升,因為不少攻擊是在發生幾個月後才被公開上報(例如當駭客已經對外公佈資料,或向受影響患者發出通告時,相關機構才被迫承認)。
勒索軟體攻擊對醫療機構造成的真實成本
不同攻擊事件提出的贖金數額往往存在很大差異,統計數字發現贖金最低可至900美元,最高則達到2000萬美元(由愛爾蘭健康服務局於2021年上報)。造成這種差異的原因,可能是因多數組織並未透露贖金要求(特別是決定屈服、向駭客支付贖金的組織),所以抽樣結果不足以反映整體趨勢。
但Comparitech發現,
勒索攻擊事件中還有另一個更易於衡量的因素,那就是系統停機時間。
在多數情況下,勒索軟體攻擊都會導致系統在數小時、數天、數周甚至數月之內無法作業。在某些極端情況下,系統甚至無法恢復正常。
Comparitech整理到共140個實體的停機時間,總停機時長為2174天,相除計算得出每起攻擊事件的平均停機時長。2022年(截至10月)平均停機時間16.1天。以此為依據,即可估算出所有上報勒索軟體攻擊的停機總時長—結果為,全球醫療照護機構因停機而承受的業務中斷總計7381天,相當於20多年。
2017年的一項研究發現,20個不同行業的平均每分鐘停機成本估算為8662美元。按同樣的標準計算,醫療照護機構僅因系統停機就損失了超過920億美元。
「雙重勒索」越來越常見
儘管2022年針對醫療照護機構的勒索攻擊數量有所下降,但這並不代表威脅程度有所降低。可以看到惡意駭客提出的贖金數位和造成的停機時間愈發可觀,而且駭客可能也採取更具針對性的攻擊方法,確保收到贖金的機率。
此外,針對系統進行加密鎖定和資料竊取的「雙重勒索」越來越常見。即使受害實體能夠利用備份快速恢復系統,惡意駭客仍然掌握著大量病患私人資料,足以強迫企業選擇接受談判。而且即使企業方最終拒絕支付贖金,出售這些資料也可能給駭客帶來巨額利潤。
本文轉載自comparitech.com。