該“全球醫療行業威脅分析與報告”探討了2016年第四季度全球醫療保健行業的威脅趨勢。所采用的威脅數據是 FortiGuardLabs威脅研究與響應團隊基于全球50個國家的454家醫療保健公司的傳感器所獲得的。

FortiGuard Labs 及其遍布世界各地的200多位研究人員和分析師每年要進行400,000多小時的威脅研究，監控并分析200多萬個傳感器收集的威脅遙測數據。由此生成的威脅情報可有效的幫助我們準確分析當前的威脅和進一步檢測新興威脅、改進我們的檢測和預防技術、為世界各地的300,000多客戶提供近實時的可執行威脅情報。平均來說，我們每分鐘查封180,000個惡意網站，阻止220,000僵尸網絡攻擊嘗試，挫敗733,000網絡入侵企圖。迄今為止，已發現了339個零日威脅，這已經成為行業紀錄。

在下面的報告中，我們將關注 FortiGuard Labs 在2016年第四季度中檢測到的針對全球醫療行業的五大惡意軟件、勒索軟件、移動惡意軟件、IPS事件、僵尸網絡和滲透代碼工具包。

五大惡意軟件

全球醫療行業 —2016年第四季度檢測到的五大惡意軟件檢測到的五大惡意軟件中的大多數均因充當勒索軟件攻擊的初始攻擊向量而聞名，而頂層攻擊來自基于VB腳本的dropper木馬程序(VBS/Agent.LKY!tr)，該木馬程序可以在攻擊的第二階段下載勒索軟件。排名第二的是“Riskware/Asparnet”，這是一種通常無意安裝的軟件類型，并在用戶不知情的情況下偷偷收集敏感信息。

列表中的剩余惡意軟件也被認為是droppers木馬型勒索軟件(VBS/Agent.97E!tr、JS/Nemucod.BQM!tr 和 JS/Nemucod.76CD!tr.dldr)。JS/Nemucod(及其變體)是非常有名的基于JavaScript的惡意軟件家族，通過垃圾郵件植入目標設備并將多余的惡意軟件(主要是勒索軟件)下載到個人電腦中。例如，一封電子郵件通過附帶加密的JavaScript附件的典型 Nemucod 垃圾郵件植入目標設備。解密 JavaScript 之后，我們可以看到其試圖從黑客控制的網站下載文件到用戶臨時文件夾。下載的文件是可執行文件，稍后用于加密用戶的文件。

五大勒索軟件

全球醫療行業 —2016年第四季度檢測到的五大勒索軟件我們觀察到的最活躍勒索軟件是 CryptoWall，在所有檢測到的勒索軟件感染事件中占據90%以上份額。與大多數類型的勒索軟件一樣，CryptoWall 劫持受害者的數據，對文件進行加密，然后索要贖金以解密這些文件。惡意軟件會顯示一則信息告知受害者：他們的文件已經被加密，而且他們必須在限定的時間內支付贖金，否則贖金將漲價。為最大程度地隱匿自己的身份，惡意軟件的作者使用 Tor 網絡并且要求以比特幣支付贖金，我們注意到這種趨勢越來越普遍。

排名第二的是Cerber，檢測到的感染率為5%左右。Cerber 具有與 CryptoWall 幾乎相同的勒索軟件特征。

TorrentLocker、TeslaCrypt 和 Locky 是我們檢測到的其他幾種勒索軟件，在其他行業中也很常見。

五大移動惡意軟件

全球醫療行業 —2016年第四季度檢測到的五大移動惡意軟件針對安卓系統的惡意軟件占據整個五大移動惡意軟件排行榜。這可能是因為安卓設備通常允許用戶輕松安裝來自第三方的應用程序，而這些應用程序在下載時可能會附帶基于安卓系統的惡意軟件。

五大入侵防御系統(IPS)事件

全球醫療行業 —2016年第四季度檢測到的五大入侵防御系統(IPS)事件VxWorks.WDB.Agent.Debug.Service.Code.Execution 在檢測到的 IPS 事件中排名榜首，攻擊次數將近200萬。VxWorks 是一種操作系統，適用于包括醫療設備在內的嵌入式設備(或物聯網，因為目前物聯網眾所周知)，比如 CT/PET/X 射線儀器、輸液泵、個人活動監視器、以及其他多種設備。該漏洞最早發現于2010年，但是我們在2016年(在補丁已經可用的情況下)仍然能夠檢測到針對該漏洞的攻擊活動，表明威脅實施者可能正在試圖利用存在漏洞的嵌入式設備，這些設備具有以下特點：

具有較長的補丁周期，或者

很少安裝補丁，甚至

根本沒有安裝補丁!

在如上所示的五大入侵防御系統(IPS)事件中，我們還注意到：某些攻擊活動旨在尋找配置錯誤的、基于Unix的網頁服務器(可能會從/etc/passwd暴露操作系統用戶名);某些攻擊活動試圖針對網頁應用程序進行 SQL 注入，還有一些攻擊活動則瞄準存在漏洞的 Netcore/Netis 路由器和多種Bash漏洞(aka ShellShock)。

五大僵尸網絡事件

全球醫療行業 —2016年第四季度檢測到的五大僵尸網絡我們檢測到的最活躍僵尸網絡是 Andromeda，這是一個模塊化僵尸程序，其包含的裝載程序可以下載模塊并且從其C2服務器進行更新。該裝載程序具有反虛擬機和反調試特征，這也是其能夠成為廣受歡迎的僵尸網絡的原因。排在其后的是 H-Worm、Necurs、Conficker 和 Pushdo。

H-Worm 是一種基于 VBscript 的僵尸網絡，允許威脅實施者盜竊敏感信息并發送到其C2服務器，而 Necurs 則用于傳播與 Locky 勒索軟件有關的惡意軟件。Conficker 是已知的最大僵尸網絡之一，自2008年以來一直為非作歹。通常情況下，該僵尸網絡滲透存在漏洞的 Windows 系統，并且通過掃描和感染其他存在漏洞的系統以蠕蟲的方式蔓延。被感染的系統最終將淪落為僵尸網絡。我們在2016年仍然能檢測到 Conficker 攻擊活動，這表明互聯網中仍然存在感染了該惡意軟件的 Windows 系統。Pushdo 也是一種已經存活數年之久的僵尸網絡，因為參與大規模垃圾郵件活動而聞名。

五大滲透代碼工具包

全球醫療行業 —2016年第四季度檢測到的五大滲透代碼工具包其他 3%RIG 是2016年檢測到的最活躍滲透代碼工具包，檢出率為46%;與大多數滲透代碼工具包一樣，RIG 在滲透成功之后主要進行勒索軟件傳播。

排名第二的CK為23%，緊隨其后的是Angler(16%)、Neutrino(12%)、以及其他不太流行的滲透代碼工具包(3%)。這些滲透代碼工具包中的大多數還可用于勒索軟件傳播。

總結

我們可以從上述威脅研究結果中發現醫療保健行業與規模更大的IT行業面臨或多或少相同的威脅。從惡意軟件的角度來看，大多數感染都是基于勒索軟件的，因為敏感的醫療保健數據被加密之后，成功收取贖金的概率很高。我們還注意到 CryptoWall 是2016年第四季度醫療保健行業最盛行的勒索軟件，而基于安卓系統的惡意軟件則占據移動惡意軟件排行榜的前五名。有趣的是，我們還發現針對已存在6年之久的 VxWorks 漏洞的攻擊活動在檢測到的IPS事件中排名榜首，這可能表明威脅實施者在試探并滲透攻擊運行 VxWorks 嵌入式系統且未安裝補丁的醫療設備時也是抱著碰碰運氣的心態。Andromeda是已檢測到的最活躍的僵尸網絡，其復原能力很強，自2011年以來一直存活至今。最后，我們檢測到的五大滲透代碼工具包都可用于傳播勒索軟件。如果正確規劃并執行多層次安全防護措施，還是可以緩解上述所有威脅帶來的危害的。