卡巴斯基实验室的研究人员发现有证据显示一种最新的和惊人的趋势:越来越多的高级网络威胁组织开始将注意力转移到医疗行业。
卡巴斯基实验室的研究人员发现有证据显示一种最新的和惊人的趋势:越来越多的高级网络威胁组织开始将注意力转移到医疗行业。我们在越南的制药组织内检测到了臭名昭著的PlugX 恶意软件,用来窃取珍贵的药物配方和商业信息。
PlugX 是一种知名的远程访问工具(RAT)。这种工具通常利用鱼叉式钓鱼攻击进行传播,并且之前在针对军事、政府和政治组织的针对性攻击中被检测到过。这种远程访问工具被多个说中文的网络威胁组织使用过,包括Deep Panda、NetTraveler 或 Winnti。2013年,研究人员发现Winnti是对在线游戏行业攻击进行攻击的罪魁祸首,而且他们从2012年5月就开始使用PlugX。有趣的是,Winnti还曾经对制药公司发动过攻击,其攻击目的是窃取医疗设备和软件制造商的数字证书。
PlugX 远程访问工具允许攻击者在未得到用户许可或授权的情况下,在系统上执行恶意操作,包括但不限于拷贝和更改文件、记录键盘输入内容、窃取密码以及捕获用户行为的屏幕截图。与其他远程访问工具一样,网络罪犯使用PlugX偷偷窃取和收集敏感信息或可获利信息,以实现恶意目的。
在针对制药组织的攻击中使用远程访问工具(RAT),表明复杂的高级可持续性威胁(APT)攻击组织对于通过医疗行业变现的兴趣越来越大。
卡巴斯基实验室的产品能够成功检测和拦截PlugX恶意软件。
“私人和机密的医疗保健数据正在稳步从医疗机构内部从纸张转移到数字形式。但这些行业的网络基础设施的安全性有时被忽视,而高级可持续性威胁攻击者(APT)追寻药物和设备创新进展的信息确实令人担忧。在制药公司检测到PlugX恶意软件,表明我们需要与网络犯罪分子进行另一场战斗,而且要赢得他们,” 卡巴斯基实验室安全研究员Yury Namestnikov说。
2017年相关研究的其他关键发现:
- 超过60%的医疗结构和组织的服务器或计算机上发现有恶意软件;
- 菲律宾、委内瑞拉和泰国在医疗设备遭受攻击的国家中名列前茅。
为了确保安全,卡巴斯基实验室专家建议企业采取以下措施:
- 清除所有从公共和安全公共网站门户处理医疗数据的节点;
- 在所有节点(包括服务器上)使用补丁管理系统,自动更新安装的软件。
- 实施网络分段:避免将昂贵的设备连接到组织和企业的主局域网上
- 使用经过验证的结合了反针对性攻击技术和威胁情报技术的企业级安全解决方案,例如卡巴斯基威胁管理和防御解决方案。这些解决方案能够通过分析网络异常情况来发现和拦截高级有针对性攻击,能够让网络安全团队全面了解网络并实现自动化响应
更多安全建议,请访问Securelist.com.
要了解更多有关PlugX攻击和医疗行业的网络安全详情,请流量我们在Securelist.com 上的博文。
