Karakurt 勒索病毒攻击医疗行业警告

重点提示

根据美国卫生与公共服务部的警告，Karakurt 勒索病毒团伙在过去三个月内至少攻击了四个医疗行业组织。这些攻击对象包括一家辅助生活设施、一家牙科公司、一家医疗服务提供者和一家医院。

卫生与公共服务部网络安全协调中心HC3发布的警告指出，Karakurt 自 2021 年底出现以来，其影响力因可能与 Conti 勒索病毒团伙有联系而加剧，这种联系可以是合作关系或是 Conti 的侧业务。

政府机构长期以来一直警告 Conti 勒索病毒团伙对医疗行业的威胁，自 2021 年初以来，已成功攻击超过 16 家医疗提供者。Karakurt 行动的攻击流程与典型勒索病毒团伙相似，自称窃取数据并威胁将在暗网拍卖或公布这些数据，除非满足其要求。赎金通常在 25000 美元到 13000000 美元之间，截止期限通常在网络犯罪分子首次联系后的一周内到期。

HC3 还指出，Karakurt 的一个主要问题是他们针对受害者进行的“广泛骚扰活动以羞辱他们”。例如，在 7 月初，Karakurt 对 Methodist McKinney 医院的攻击就是一个明显例子。攻击者威胁要发布他们从医院系统盗取的数据显示，但 Methodist McKinney 针对正在进行的攻击通知了患者，并继续调查可能的数据盗取情况。

Karakurt 通过购买被盗的登录凭证和与网络犯罪伙伴建立合作关系来获得访问权限，这可能包括通过第三方入侵经纪网络访问已经被攻破的受害者。其常用的优先攻击的漏洞包括过时的 SonicWall VPN、Log4j、网络钓鱼和过时的 Windows 服务器。

Karakurt 的典型两个月逗留时间也导致了严重的后果，在这段时间内，攻击者对受害者进行了扫描、侦查和数据收集。攻击者会压缩文件，以便提取大量数据，并且在很多情况下，会将超过 1 TB 的整个网络共享驱动器压缩后提取，利用开源应用程序和 FTP 进行操作。

在医疗领域，这种访问和数据提取显然包括患者的受保护健康信息，如病史、健康保险详情、诊断和治疗内容。

“获得对被攻破系统的访问后，Karakurt 行动将部署 Cobalt Strike 信标以枚举网络，安装 Mimikatz 抽取明文凭证，利用 AnyDesk 获取持久的远程控制，并使用额外的具体情况相关工具提升权限，在网络中横向移动，”警告中提到。

在数据提取后，Karakurt 会通过“readmetxt”文件向受害组织的员工电子邮件发送赎金通知。这些信息包含与攻击者洽谈价格以删除数据的指引。

在这些谈判中，受害者报告了大量的骚扰活动，Karakurt 与员工、商业伙伴和客户进行接触，发送众多电子邮件和电话，警告接收者鼓励受害者进行谈判，以防止受害者数据的传播。

针对可能造成的影响，HC3 建议医疗提供者审查运营安全，并利用警告中列出的建议。提供者还可以找到 Karakurt 的全面攻击手法、已知漏洞利用和妥协指标的完整列表。