LabCorp數據洩露恐懼沒有發現。這是勒索軟件攻擊。
美國實驗室公司控股公司(Laborp of America Holdings)或LabCorp在全球擁有6萬名員工,在近100個國家/地區提供臨床試驗幫助,每周處理約250萬項實驗室測試。這意味著LabCorp會處理和存儲與數百萬人的健康相關的潛在非常敏感的數據。就像您想像的那樣,當公司宣布已在其IT網絡上檢測到“可疑活動”時,反應並不完全是積極的。人們真的很害怕他們的健康信息。事實證明,他們沒有太多擔心。
週一,當該公司向美國證券交易委員會(SEC)提交了8-K備案文件時,這一消息傳開了。該文件沒有說太多,事實上,在周末,LabCorp的某些計算機和服務器的運行方式異常。儘管該文件表明該公司的IT團隊當時不知道他們在處理什麼,但為了防止任何實際損害,許多系統都已關閉。
昨天,CSO報告了有關攻擊的更多詳細信息 。顯然,在7月13日午夜,黑客開始通過強行強制使用遠程桌面協議(RDP)登錄憑據來滲透LabCorp的網絡。到了7月14日下午6點,他們進入了系統,並丟下了他們的有效載荷-一種名為SamSam的勒索軟件。
好消息
顯然,網絡攻擊永遠不會是一個好消息,特別是對於有針對性的組織而言,但在這種情況下,我們可以肯定,LabCorp的員工和患者在得知實驗室網絡受到攻擊時,都可以集體鬆了一口氣。通過勒索軟件。
另一種選擇是一種惡意軟件,該惡意軟件會竊取並洩露可能造成毀滅性後果的患者數據。在仔細審查了證據之後,LabCorp自信地聲明沒有信息洩漏。因此,您絕對可以說情況可能更糟。
得知攻擊後,LabCorp的IT團隊立即開始使系統脫機,以限制損害。在五十分鐘之內,感染就被遏制了,但是到那時,SamSam已經設法對7,000個系統和1,900台服務器上的數據進行加密。
儘管他們造成了巨大的損失,黑客卻空手而逃。根據官方公告,勒索軟件已被“ 刪除 ”,這表明LabCorp具有從其還原加密信息的工作備份。該公司表示,大多數測試操作已經恢復,幾天之內一切都會恢復正常。
總而言之,LabCorp對攻擊的反應值得一定程度的讚揚。該公司迅速做出反應,並且在勒索軟件完全破壞實驗室網絡的基礎架構之前將其包含在內。之後,他們對敏感數據的負責任管理有助於確保不會丟失任何信息。
不太好消息
LabCorp尚未確定勒索軟件的確切種類,但CSO及其來源似乎可以肯定是SamSam,因為在過去的一年左右的時間裡,這個特殊的家庭遭受了許多醫療保健組織的襲擊。此外,SamSam幫派並不是唯一的感染媒介,但經常通過強行使用RDP憑證攻擊受害者。
同樣,細節仍然不清楚,但是有證據表明LabCorp沒有兩重身份驗證來保護其RDP帳戶。換句話說,有證據表明LabCorp是一個潛在的目標,但是,儘管它確實對攻擊做出了很好的反應,但它沒有採取可以阻止它的一步。
專家經常說,黑客只需成功一次即可發起成功的攻擊。但是,另一端的用戶和組織則需要始終保持成功,以防止發生安全事件。對LabCorp的勒索軟件攻擊證明了該說法的正確性。