一、事件概况
5月20日上午,Kettering Health发布声明,称遭遇系统范围的技术中断,影响多个核心业务系统。
CNN随后披露的勒索信内容显示,攻击者声称已加密其最关键的数据,并威胁如不支付赎金,将对外泄露机密文件。该事件疑似由Interlock勒索组织所发起,组织特征为部署加密软件并通过暗网进行赎金谈判。
二、业务影响全览
此次事件对医疗运营造成广泛影响,主要包括:
-
住院与门诊择期手术全部取消,将择期重新安排
-
呼叫中心服务中断,临时启用紧急热线维持沟通
-
预约系统、病历管理、药品续方系统瘫痪
-
患者无法通过MyChart等App接收检测结果
-
出现诈骗电话事件,医院停止所有电话缴费流程
尽管如此,Kettering Health强调:
“急诊室、诊所、医院仍持续开放,患者可正常就诊。”
三、官方回应进展
Kettering Health在数日内连续发布多次更新:
-
5月20日 10:37:首次公告系统中断,取消所有择期手术
-
5月20日 10:50:确认网络安全事件,启动调查与遏制措施
-
5月23日 08:45:CEO致信全体,表示预计恢复时间10~20天
-
5月24日:新增紧急热线、线下药房支持、恢复部分服务能力
此外,医院呼吁公众谨防诈骗,所有官方联络均为电话通知,不会通过社交平台发送医疗信息。
四、攻击者身份追踪
该起事件疑似由Interlock 勒索组织发起。
🔍 背景资料:Interlock于2024年下半年活跃,已对科技、制造、政府、医疗等多个行业发起过攻击。其特点是部署勒索软件后威胁数据泄露,并设有专属暗网谈判平台。
Talos(Cisco网络威胁情报部门)指出,该组织正迅速扩张攻击版图,具备成熟的攻击链与赎金谈判机制。
五、行业趋势与风险提示
Kettering事件凸显医疗行业正成为勒索软件的高危目标。据FBI披露,仅2024年,美国医疗机构向其报告的勒索攻击与数据泄露就超过440起,为所有关键基础设施领域中最高。
建议医疗单位重点防护:
-
建立 EDR/XDR能力,形成勒索行为早期感知机制
-
定期开展 数据恢复演练与灾备演习
-
强化 身份验证(MFA),减少账号滥用风险
-
实现 备份系统与业务系统的逻辑隔离
-
提前建立 多方协同的应急响应机制
六、安全防线,需要提前筑起
这场发生在美国医疗行业的攻击事件,再次提醒我们:勒索攻击已不是偶发事件,而是常态挑战。尤其在医疗、能源、政府等高价值目标行业,组织亟需从“被动应对”转向“主动防御”。
消息来源
-
https://ketteringhealth.org/system-wide-technology-outage/
-
https://www.cnn.com/2025/05/20/politics/ransomware-attack-medical-centers
原文始发于微信公众号(solar应急响应团队):【医疗系统告急】Kettering Health遭勒索攻击,14家医院运营中断
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论