INC RANSOM

尽管加利福利亚州的三城医疗中心（Tri-City）在 17 天前就恢复了运营并开始运行，但针对 Oceanside 医院的勒索软件勒索活动似乎仍在继续。 本周早些时候，一位网络安全专家在 X（以前称为 Twitter）上的一条推文中指出，臭名昭著的网络勒索者组织“INC RANSOM”在暗网上宣布拥有从医疗保健提供商处窃取的记录，在暗网这个互联网上的匿名角落经常买卖此类信息。 INC Ransom has listed Tri-City Medical Center: a San Diego County-based hospital that was forced to divert ambulances after a #ransomware attack last month. 1/3 pic.twitter.com/iXK8GjfNZL — Brett Callow (@BrettCallow) December 7, 2023 该帖子包含八页印刷版的“证据”，据推测是在 11 月 9 日开始的数字攻击中从三城医院盗取的，这次攻击严重影响了该公立医院区的运营。11 月 27 日，该医院报告说，它已再次开始接受所有救护车的运送，并正在进行攻击期间推迟的选择性手术。 公布的记录包括两份事先授权表，用于要求医疗保险公司批准特定病人的特定手术，表中列出了病人的姓名、电话号码和其他身份信息。这一小批文件中还包括财务记录，但没有说明攻击者掌握了多少记录。 该公告发布在该勒索软件团伙的暗网泄密网站上，虽然”暗网下/AWX“找到并访问了该网站以验证此类记录的存在，但为了避免传播被盗信息，本文不分享具体访问地址。 勒索软件团伙发布的文件并不一定证明黑客进入了三城医疗中心的电子病历系统，因为该系统存储着病人的病程记录、检查结果和医学影像等超敏感数据。 黑客有可能在不访问医疗记录存储库的情况下获取大量个人信息。例如，斯克里普斯健康中心 (Scripps Health) 曾在 2021 年被迫通知近 15 万名患者，他们的一些私人信息在长达一个月的勒索软件攻击中遭到泄露，严重影响了其运营。斯克里普斯表示，虽然据说包括收件人、出生日期、医疗保险信息、医疗记录编号、患者账号以及治疗名称和日期在内的信息都被窃取了，但斯克里普斯医院表示医疗记录仍然是保密的。 但很明显，暗网网站上弹出的通知表明黑客仍在试图勒索该医院。 总部位于西雅图的信息安全咨询公司 Critical Insight 的网络安全顾问杰克·米尔斯坦 (Jake Milstein) 表示，此类帖子的目的是向组织施加压力，要求他们支付赎金，以避免规模更大、更具破坏性的数据转储。而且，即使企业支付了首次赎金请求，也不一定意味着不会进行第二次尝试。