LabCorp数据泄露恐惧没有发现。这是勒索软件攻击。

LabCorp Ransomware Attack

美国实验室公司控股公司(Laborp of America Holdings)或LabCorp在全球拥有6万名员工,为近100个国家/地区的临床试验提供帮助,每周处理约250万项实验室测试。这意味着LabCorp会处理和存储与数百万人的健康相关的潜在非常敏感的数据。就像您想象的那样,当公司宣布已在其IT网络上检测到“可疑活动”时,反应并不完全是积极的。人们真的很害怕他们的健康信息。事实证明,他们没有太多担心。

周一,当该公司向美国证券交易委员会(SEC)提交了8-K备案文件时,这一消息传开了。该文件没有说太多,事实上,在周末,LabCorp的某些计算机和服务器运行异常。尽管该文件表明该公司的IT团队当时不知道他们在处理什么,但为了防止任何实际损害,许多系统都已关闭。

昨天,CSO报告有关攻击的更多详细信息 。显然,在7月13日午夜,黑客开始通过强行强制使用远程桌面协议(RDP)登录凭据来渗透LabCorp的网络。到了7月14日下午6点,他们进入了系统,并丢下了他们的有效载荷-一种名为SamSam的勒索软件。

好消息

显然,网络攻击永远不会是一个好消息,尤其对于目标组织而言,但在这种情况下,我们可以肯定,LabCorp的员工和患者在得知实验室网络受到攻击时,都可以集体松了一口气。通过勒索软件。

另一种选择是一种恶意软件,该恶意软件会窃取并泄露可能造成毁灭性后果的患者数据。在仔细审查了证据之后,LabCorp自信地声明没有信息泄漏。因此,您绝对可以说情况可能更糟。

得知攻击后,LabCorp的IT团队立即开始使系统脱机,以限制损害。在五十分钟之内,感染就被控制住了,但是到那时,SamSam已经设法对7,000个系统和1,900台服务器上的数据进行加密。

尽管他们造成了巨大的损失,黑客却空手而逃。根据官方公告,勒索软件已被“ 删除 ”,这表明LabCorp具有从其还原加密信息的有效备份。该公司表示,大多数测试操作已经恢复,几天之内一切都会恢复正常。

总而言之,LabCorp对攻击的反应值得一定程度的赞扬。该公司迅速做出反应,并且在勒索软件完全破坏实验室网络的基础架构之前将其包含在内。之后,他们对敏感数据的负责任管理有助于确保不会丢失任何信息。

不太好消息

LabCorp尚未确定勒索软件的确切种类,但CSO及其来源似乎可以肯定是SamSam,因为在过去的一年左右的时间里,这个特殊的家庭遭受了许多医疗保健组织的袭击。此外,SamSam帮派并不是唯一的感染媒介,但经常通过强行使用RDP凭据攻击受害者。

同样,细节仍然不清楚,但是有证据表明LabCorp没有两重身份验证来保护其RDP帐户。换句话说,有证据表明LabCorp是一个潜在的目标,但是,尽管它确实对攻击做出了很好的反应,但它没有采取可以阻止它的一步。

专家经常说,黑客只需成功一次即可发起成功的攻击。但是,另一端的用户和组织则需要始终保持成功以防止发生安全事件。对LabCorp的勒索软件攻击证明了该说法的正确性。

May 20, 2019

发表评论