Killnet网络攻击对医疗行业的持续威胁

关键要点

一系列针对医疗机构的KillnetDDoS网络攻击在一月间频繁发生，但随着时间推移，这些黑客活动的频率有所减缓。然而，卫生与公共服务部的网络安全协调中心（HC3）警告称，数字身份被劫持的风险依然很高。

Killnet被认为是一个与俄罗斯有关的黑客组织，活跃于2022年1月以来，以其对政府机构，包括医疗行业的服务拒绝（DoS）和分布式服务拒绝（DDoS）攻击而闻名。

HC3本周发布的警报指出，本月只有少量事件被归因于Killnet，其中包括对一家实验室及血液和制药机构的DDoS攻击。黑客的Telegram频道也几乎没有关于可能针对医疗领域的内容。

然而，Killnet针对医疗行业的主要攻击活动依然存在，过去三个月主要利用MicrosoftAzure基础设施进行攻击。根据以往报道，生物科学和制药组织是观察到的攻击活动的主要目标，其次是医院、健康保险、医疗服务和医疗相关领域。

这个观察到的攻击活动与之前披露的Killnet DDoS网络攻击重叠，导致多家医院的数据成功外泄，并被公开曝光在声称属于Killnet的名单上。

最新的HC3警报更新了1月的披露，提到当时共有超过90次DDoS攻击针对医疗系统、独立医院和医疗中心进行。这些受害者中超过一半是拥有至少一家医院的医疗系统，以及提供最高级别护理的一级创伤中心医院。

大型医疗机构成为Killnet及其关联网络犯罪分子的理想目标，因为它们有着“大量的患者数据可供访问和利用，”HC3表示。

“虽然他们的主要网络攻击方式通常不会造成重大损害，但可能导致脆弱系统的服务中断，持续几个小时甚至几天，”
HC3指出。”与许多黑客组织避免针对医疗机构不同，该组织毫不留情地针对整个医疗行业的医院和医疗组织进行攻击。”

尽管自1月发生的事件以来，该行业尚未面临另一波攻击，但Killnet依旧在招募与其附属成员合作，分享俄罗斯利益。Killnet于3月21日发布的一条信息强调“他们是去中心化的，Killnet只是一个将俄罗斯网络爱国者团结在一起的‘理念’，并且他们并未得到[俄罗斯]国家的支持。”

除了DDoS风险，Killnet的创始人KillMilk还启动了一家新的私营军事黑客公司，名为BlackSkills，该公司似乎“高度组织”，拥有24个部门负责不同的职能，包括情报、公共关系和员工管理。目前尚不清楚这个组织是否是Killnet的品牌重塑，或者是为了更多的技术成员而派生出来的倡议。

KillMilk此后已经离开了该组织，由名为Blackside的黑客接替其位置，后者专注于勒索软件、网络钓鱼和加密货币盗窃。

HC3警告各方，黑客寻找潜在受害者信息的最简单方式是通过在线存在，随便进行一次互联网搜索即可找到。

警报建议医疗机构采取身份管理（IdM）程序，以主动保护员工的身份不被像Killnet这样的黑客所利用，这类黑客积极利用身份侦察策略。该程序包括对实体或单个员工身份的发现、分析和管理。

“IdM程序旨在增强组织抵御来自对手和/或犯罪实体的当前威胁的能力，这些实体试图利用身份数据，并识别新兴的组织资产威胁,” 根据警报的说明。

Killnet的分析包含了一系列资源，帮助医疗机构加强对黑客攻击的防御。但HC3明确指出，“没有单一行动可以保护组织免受像Killnet这样的网络威胁团体的攻击”。

“然而，医疗机构仍需采取主动措施，” HC3警告道。“应重点关注最大限度地减少可供外部方获取的数据量和敏感