安全事件
时间:2020-04-07浏览次数:
1、某地三甲医院遭勒索病毒攻击,导致系统全部瘫痪,医院被勒索200万 事件回顾 2019年6月,某地三甲医院20台服务器与4台备份服务器被勒索病毒锁死,全部业务系统处于瘫痪状态,攻击...
1、某地三甲医院遭勒索病毒攻击,导致系统全部瘫痪,医院被勒索200万
事件回顾
2019年6月,某地三甲医院20台服务器与4台备份服务器被勒索病毒锁死,全部业务系统处于瘫痪状态,攻击者勒索比特币赎金约合200万人民币。
事件分析
经过现场排查得出以下问题:
· 该医院的服务器开启了远程桌面,存在互联网暴露;
· 所有的服务器密码都相同,且管理员密码存在弱口令;
· 事发半个月前,攻击者曾经通过远程爆破进入了医院的业务系统,拿到了管理员权限,修改了网络防火墙策略,并摸清了主、备份服务器的数量和整体防御情况。
正是由于以上的问题和漏洞,攻击者发动了勒索攻击,将服务器全部锁死
2、某省卫生专网遭到攻击,58家医院连锁感染勒索病毒
事件回顾
2019年3月,某地三甲医院的5台核心服务器爆发勒索病毒,导致系统大面积瘫痪,仅几个小时过后,全省另外的57家大、中型医院相继爆发勒索病毒,每家医院都受到了严重的破坏,受感染服务器的数量少则3台,多则8台,被感染医院网络业务瘫痪,无法正常进行接诊治疗。
事件分析
经过现场排查得知,此次事件是人工投毒行为,被感染的病毒为Globelmposte家族勒索病毒,归纳为以下几个问题:
· 第一家受感染医院专网前置机因使用弱口令而被爆破,内网服务器感染勒索病毒;
· 在成功感染第一家医院后,攻击者利用卫生专网爆破3389,登陆到各医院专网前置机;
· 以前置机为跳板向医院内网其它服务器爆破投毒,感染专网上未彻底隔离的其他57家医院。