【新闻转载】Clop勒索软件攻击导致超300万医保受益人信息泄露

美国医疗保险和医疗补助服务中心（CMS）在本月初宣布，去年发生的MOVEit攻击中，Clop勒索软件事件导致超过三百万健康计划受益人的健康和个人信息遭泄露。

黑客在侵入了提供Medicare管理服务的威斯康星医师服务（WPS）健康保险公司后，窃取了相关数据。

CMS是美国卫生与公众服务部（HHS）下属的一个联邦机构，负责监管国家的主要医疗保健计划，包括Medicaid和儿童健康保险计划（CHIP）。

该机构确保这些计划符合联邦标准，提供资金支持，执行政策和法规，监控医疗质量和成本，并协助管理平价医疗法案（ACA）下的健康保险市场。

CMS在9月6日的新闻稿中通报，该机构与WPS正在通知946,801名Medicare受益人，他们的个人身份信息在一年多前的MOVEit攻击中遭到泄露。

同日，联邦机构在HHS的泄露信息门户上报告，总共有3,112,815人的信息被盗。

CMS发言人向BleepingComputer澄清，这一数字差异是因为包括了已故人员或非Medicare受益人的数据，这些数据是WPS作为CMS工作的一部分所收集的。

根据CMS的新闻稿，WPS在2023年6月初应用了MOVEit Transfer开发商Progress Software的安全更新，并当时认为其系统已安全。

然而，2024年5月对事件的审查发现，黑客在WPS应用安全补丁之前就已经侵入了其网络，并泄露了部分文件。

2024年7月8日，CMS在审查被盗文件内容时确认，这些文件包含了以下信息：

• 姓名
• 社会安全号码或个人纳税人识别号码
• 出生日期
• 邮寄地址
• 性别
• 医院账号
• 服务日期
• Medicare受益人标识符（MBI）和/或健康保险索赔编号

随着调查的深入，Experian为受影响的个人提供为期12个月的免费信用监控服务，以减轻数据泄露带来的风险。

尽管Clop勒索软件团伙声称会删除属于医院、医疗保健组织和美国政府实体的数据，但无法确保这些被盗数据没有在暗网上被共享或出售。

以下是solar安全团队近期处理过的常见勒索病毒后缀：后缀.360勒索病毒,.halo勒索病毒,.phobos勒索病毒,.Lockfiles勒索病毒,.stesoj勒索病毒,.src勒索病毒,.svh勒索病毒,.Elbie勒索病毒,.Wormhole勒索病毒.live勒索病毒, .rmallox勒索病毒, .mallox 勒索病毒,.hmallox勒索病毒,.jopanaxye勒索病毒, .2700勒索病毒, .elbie勒索病毒, .mkp勒索病毒, .dura勒索病毒, .halo勒索病毒, .DevicData勒索病毒, .faust勒索病毒, ..locky勒索病毒, .cryptolocker勒索病毒, .cerber勒索病毒, .zepto勒索病毒, .wannacry勒索病毒, .cryptowall勒索病毒, .teslacrypt勒索病毒, .gandcrab勒索病毒, .dharma勒索病毒, .phobos勒索病毒, .lockergoga勒索病毒, .coot勒索病毒, .lockbit勒索病毒, .nemty勒索病毒, .contipa勒索病毒, .djvu勒索病毒, .marlboro勒索病毒, .stop勒索病毒, .etols勒索病毒, .makop勒索病毒, .mado勒索病毒, .skymap勒索病毒, .aleta勒索病毒, .btix勒索病毒, .varasto勒索病毒, .qewe勒索病毒, .mylob勒索病毒, .coharos勒索病毒, .kodc勒索病毒, .tro勒索病毒, .mbed勒索病毒, .wannaren勒索病毒, .babyk勒索病毒, .lockfiles勒索病毒, .locked勒索病毒, .DevicData-P-XXXXXXXX勒索病毒, .lockbit3.0勒索病毒, .blackbit勒索病毒等。

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且分支了很多团伙组织，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库及暴力破解进行加密，攻击手法极多防不胜防。

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“solar专业应急响应团队”。