2016第四季度全球医疗行业威胁分析与报告

2017-03-14 09:31:00 作者:ym 分类 : 比特网

  该“全球医疗行业威胁分析与报告”探讨了2016年第四季度全球医疗保健行业的威胁趋势。所采用的威胁数据是 FortiGuardLabs威胁研究与响应团队基于全球50个国家的454家医疗保健公司的传感器所获得的。

  FortiGuard Labs 及其遍布世界各地的200多位研究人员和分析师每年要进行400,000多小时的威胁研究,监控并分析200多万个传感器收集的威胁遥测数据。由此生成的威胁情报可有效的帮助我们准确分析当前的威胁和进一步检测新兴威胁、改进我们的检测和预防技术、为世界各地的300,000多客户提供近实时的可执行威胁情报。平均来说,我们每分钟查封180,000个恶意网站,阻止220,000僵尸网络攻击尝试,挫败733,000网络入侵企图。迄今为止,已发现了339个零日威胁,这已经成为行业纪录。

  在下面的报告中,我们将关注 FortiGuard Labs 在2016年第四季度中检测到的针对全球医疗行业的五大恶意软件、勒索软件、移动恶意软件、IPS事件、僵尸网络和渗透代码工具包。

  五大恶意软件

全球医疗行业 — 2016年第四季度检测到的五大恶意软件说明: 说明: top 5 malware

  检测到的五大恶意软件中的大多数均因充当勒索软件攻击的初始攻击向量而闻名,而顶层攻击来自基于VB脚本的dropper木马程序(VBS/Agent.LKY!tr),该木马程序可以在攻击的第二阶段下载勒索软件。排名第二的是“Riskware/Asparnet”,这是一种通常无意安装的软件类型,并在用户不知情的情况下偷偷收集敏感信息

  列表中的剩余恶意软件也被认为是droppers木马型勒索软件(VBS/Agent.97E!tr、JS/Nemucod.BQM!tr 和 JS/Nemucod.76CD!tr.dldr)。JS/Nemucod(及其变体)是非常有名的基于JavaScript的恶意软件家族,通过垃圾邮件植入目标设备并将多余的恶意软件(主要是勒索软件)下载到个人电脑中。例如,一封电子邮件通过附带加密的JavaScript附件的典型 Nemucod 垃圾邮件植入目标设备。解密 JavaScript 之后,我们可以看到其试图从黑客控制的网站下载文件到用户临时文件夹。下载的文件是可执行文件,稍后用于加密用户的文件。

  五大勒索软件

全球医疗行业 — 2016年第四季度检测到的五大勒索软件说明: 说明: top 5 ransomware

  我们观察到的最活跃勒索软件是 CryptoWall,在所有检测到的勒索软件感染事件中占据90%以上份额。与大多数类型的勒索软件一样,CryptoWall 劫持受害者的数据,对文件进行加密,然后索要赎金以解密这些文件。恶意软件会显示一则信息告知受害者:他们的文件已经被加密,而且他们必须在限定的时间内支付赎金,否则赎金将涨价。为最大程度地隐匿自己的身份,恶意软件的作者使用 Tor 网络并且要求以比特币支付赎金,我们注意到这种趋势越来越普遍。

  排名第二的是Cerber,检测到的感染率为5%左右。Cerber 具有与 CryptoWall 几乎相同的勒索软件特征。

  TorrentLocker、TeslaCrypt 和 Locky 是我们检测到的其他几种勒索软件,在其他行业中也很常见。

  五大移动恶意软件

全球医疗行业 — 2016年第四季度检测到的五大移动恶意软件

说明: 说明: top 5 mobile malware

  针对安卓系统的恶意软件占据整个五大移动恶意软件排行榜。这可能是因为安卓设备通常允许用户轻松安装来自第三方的应用程序,而这些应用程序在下载时可能会附带基于安卓系统的恶意软件。

  五大入侵防御系统(IPS)事件

全球医疗行业 — 2016年第四季度检测到的五大入侵防御系统(IPS)事件说明: 说明: top 5 ips events

  VxWorks.WDB.Agent.Debug.Service.Code.Execution 在检测到的 IPS 事件中排名榜首,攻击次数将近200万。VxWorks 是一种操作系统,适用于包括医疗设备在内的嵌入式设备(或物联网,因为目前物联网众所周知),比如 CT/PET/X 射线仪器、输液泵、个人活动监视器、以及其他多种设备。该漏洞最早发现于2010年,但是我们在2016年(在补丁已经可用的情况下)仍然能够检测到针对该漏洞的攻击活动,表明威胁实施者可能正在试图利用存在漏洞的嵌入式设备,这些设备具有以下特点:

  · 具有较长的补丁周期,或者

  · 很少安装补丁,甚至

  · 根本没有安装补丁!

  在如上所示的五大入侵防御系统(IPS)事件中,我们还注意到:某些攻击活动旨在寻找配置错误的、基于Unix的网页服务器(可能会从/etc/passwd暴露操作系统用户名);某些攻击活动试图针对网页应用程序进行 SQL 注入,还有一些攻击活动则瞄准存在漏洞的 Netcore/Netis 路由器和多种Bash漏洞(aka ShellShock)。

  五大僵尸网络事件

全球医疗行业 — 2016年第四季度检测到的五大僵尸网络

说明: 说明: top 5 botnet events

  我们检测到的最活跃僵尸网络是 Andromeda,这是一个模块化僵尸程序,其包含的装载程序可以下载模块并且从其C2服务器进行更新。该装载程序具有反虚拟机和反调试特征,这也是其能够成为广受欢迎的僵尸网络的原因。排在其后的是 H-Worm、Necurs、Conficker 和 Pushdo。

  H-Worm 是一种基于 VBscript 的僵尸网络,允许威胁实施者盗窃敏感信息并发送到其C2服务器,而 Necurs 则用于传播与 Locky 勒索软件有关的恶意软件。Conficker 是已知的最大僵尸网络之一,自2008年以来一直为非作歹。通常情况下,该僵尸网络渗透存在漏洞的 Windows 系统,并且通过扫描和感染其他存在漏洞的系统以蠕虫的方式蔓延。被感染的系统最终将沦落为僵尸网络。我们在2016年仍然能检测到 Conficker 攻击活动,这表明互联网中仍然存在感染了该恶意软件的 Windows 系统。Pushdo 也是一种已经存活数年之久的僵尸网络,因为参与大规模垃圾邮件活动而闻名。

  五大渗透代码工具包

全球医疗行业 — 2016年第四季度检测到的五大渗透代码工具包

其他 3%说明: 说明: top 5 exploit kits

  RIG 是2016年检测到的最活跃渗透代码工具包,检出率为46%;与大多数渗透代码工具包一样,RIG 在渗透成功之后主要进行勒索软件传播。

  排名第二的CK为23%,紧随其后的是Angler(16%)、Neutrino(12%)、以及其他不太流行的渗透代码工具包(3%)。这些渗透代码工具包中的大多数还可用于勒索软件传播。

  总结

  我们可以从上述威胁研究结果中发现医疗保健行业与规模更大的IT行业面临或多或少相同的威胁。从恶意软件的角度来看,大多数感染都是基于勒索软件的,因为敏感的医疗保健数据被加密之后,成功收取赎金的概率很高。我们还注意到 CryptoWall 是2016年第四季度医疗保健行业最盛行的勒索软件,而基于安卓系统的恶意软件则占据移动恶意软件排行榜的前五名。有趣的是,我们还发现针对已存在6年之久的 VxWorks 漏洞的攻击活动在检测到的IPS事件中排名榜首,这可能表明威胁实施者在试探并渗透攻击运行 VxWorks 嵌入式系统且未安装补丁的医疗设备时也是抱着碰碰运气的心态。Andromeda是已检测到的最活跃的僵尸网络,其复原能力很强,自2011年以来一直存活至今。最后,我们检测到的五大渗透代码工具包都可用于传播勒索软件。如果正确规划并执行多层次安全防护措施,还是可以缓解上述所有威胁带来的危害的。

芥末视频

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。