勒索组织将窃取数据存在云上，受害企业利用法律成功索回。

1月2日消息，美国纽约州两家非营利性医院请求法院颁布命令，以取回去年8月因勒索软件攻击被盗数据。目前，这些数据存储在波士顿一家云存储公司的服务器上。

两家受害组织迦太基地区医院和克拉克斯顿赫普本医疗中心联合成立了北极星健康联盟。这一合作组织专注于为纽约州北部地区提供医疗服务，服务范围包括杰斐逊县、刘易斯县北部、圣劳伦斯县南部、奥格登斯堡的22万多居民。

LockBit勒索软件团伙声称，2023年8月下旬入侵了两家医院的系统，并窃取了敏感文件。一周之后，两家医院发表新闻稿表示，攻击事件迫使他们将需要紧急护理的患者转至其他医院的急诊科室。

两家医院表示，“在周四晚间，迦太基地区医院和克拉克斯顿赫普本医疗中心的内部安全软件发现一起网络安全事件。双方的IT团队正在继续努力保持所有系统稳定运行。我们将通知所有需要重新安排预约的患者。任何有紧急健康问题的患者仍应联系他们的医疗保健提供者。有急诊需求的患者应前往最近的急诊科室。”

两家医院与美国联邦调查局合作调查此事件，发现Lockbit关联机构窃取的数据现存储在马萨诸塞州波士顿Wasabi Technologies云存储公司的服务器上。被盗数据包括各类个人身份信息（PII）和受保护健康信息，如患者姓名、地址、出生日期、财务信息、社会安全号码、健康保险等。

通过起诉成功取回被盗数据

为了从Wasabi公司服务器中取回被盗数据，两家医院现在已经针对被盗文件发起法律行动，要求法院命令Wasabi公司将被盗数据返还给北极星健康联盟医院，并要求勒索软件团伙销毁制作的所有副本。

北极星健康联盟首席执行官Richard Duvall表示，“我们的法律团队研究认为，最佳方案是与FBI合作追究Wasabi公司，以获取我们隐私数据。这样我们可以确定具体哪些信息遭到了泄漏。”

根据法庭文件，这家云存储公司已经向FBI提供了医院要求的数据副本。

起诉书中写道，“医院集团要求对被告和其他实体采取禁令措施，防止对被盗数据进行访问、转移或复制，并要求在被盗数据归还给医院集团后，销毁所有其他副本。根据现有信息，我们相信Wasabi公司已经向FBI提供了被盗数据的副本。”

2023年平安夜，LockBit还破坏了德国三家医院的急救服务，迫使他们将急救患者转至其他机构，或将严重延误救治工作。2022年圣诞节前一周，另一家LockBit关联机构攻击了多伦多病童医院，延误了诊断和治疗进程。

2019年9月，LockBit的勒索软件即服务（RaaS）行动首次被曝光。德国大陆汽车公司、英国皇家邮政、新西兰奥克兰市政府、意大利国税局等机构纷纷沦陷。

2023年6月，多国网络安全机构联合发布警告称，自2020年以来，这个勒索软件团伙针对美国组织发动了1700多次攻击，至少敲诈了9100万美元。

参考资料：

bleepingcomputer.com