遭受 Trinity 勒索软件攻击的医疗保健组织

医疗保健行业面临着来自新型勒索软件变种Trinity 的日益严重的网络威胁。美国卫生与公众服务部 (HHS) 已发出警告，提醒医疗保健和公共卫生机构注意迫在眉睫的危险。

勒索软件威胁日益严重

Trinity 于 2024 年 5 月首次被发现，是一种相对较新的勒索软件。它会加密文件，并添加“.trinitylock”扩展名。据 HHS 称，它与 2023Lock 和 Venus 等其他勒索软件家族有相似之处。这些团体通常以关键基础设施为目标，Trinity 也不例外。

与其他勒索软件一样，Trinity 使用泄密网站列出受害者名单，并与组织协商文件解密事宜。勒索软件的操作员会先窃取数据，然后锁定系统，以劫持数据，进行进一步勒索。

一旦进入系统，Trinity 就会使用钓鱼电子邮件、易受攻击的软件和恶意网站来获取访问权限。然后，它会进行网络侦察、扫描系统并横向移动以提升权限。Trinity 使用的一种高级策略是冒充合法进程的令牌，以扩大其在受害者网络中的覆盖范围。

加密和勒索方法

获得完全访问权限后，Trinity 使用强大的加密算法对文件进行加密。除非受害者拥有正确的解密密钥，否则文件将无法使用。每个受影响的文件都会被标记为“.trinitylock”扩展名，以明确标识加密数据。

加密过程结束后，受害者会收到文本和 .hta 格式的勒索信，以及显示攻击的修改过的桌面壁纸。勒索信通常包含用于访问攻击者网站的洋葱 URL 和通信说明。

其他勒索软件家族的链接

HHS 指出，Trinity 与 2023Lock 和 Venus 勒索软件家族惊人地相似。它们共享 ChaCha20 加密算法，并且它们的赎金记录、互斥锁名称和注册表值几乎相同。这些深层次的联系表明 Trinity 可能是 2023Lock 的直接继承者，使其成为一种不断演变的威胁。

对医疗保健组织的影响

医疗保健和公共卫生部门尤其容易受到攻击。一家美国医疗保健组织已成为该组织的受害者，截至目前，Trinity 的泄密网站列出了五名受害者。其中包括 Rocky Mountain Gastroenterology，攻击者声称从其窃取了 330 GB 的数据。

目前，Trinity 勒索软件没有可用的解密工具，受害者别无选择。虽然有些人使用数据恢复工具取得了部分成功，但对网络安全专业人士的专业咨询的需求很高。

为下一次攻击做准备

Trinity 和其他勒索软件家族对医疗保健系统造成的风险显而易见。您的组织应采取哪些措施来防止攻击？您当前的防御措施足以抵御入侵吗？周到、主动的安全措施可能是成为受害者或保持安全的区别。