醫療機構受到 Trinity 勒索軟體的圍攻

醫療保健產業面臨著來自名為Trinity 的新型勒索軟體變種的日益嚴重的網路威脅。美國衛生與公眾服務部 (HHS) 已發出警告，提醒醫療保健和公共衛生領域迫在眉睫的危險。

勒索軟體的威脅不斷上升

Trinity 於 2024 年 5 月首次檢測到，是一種相對較新的勒索軟體病毒。它加密文件，添加“.trinitylock”擴展名。據 HHS 稱，它與 2023Lock 和 Venus 等其他勒索軟體系列有相似之處。這些組織通常以關鍵基礎設施為目標，Trinity 也不例外。

與其他勒索軟體一樣，Trinity 使用洩漏網站列出受害者並與組織協商文件解密。勒索軟體的操作者會在鎖定係統之前竊取數據，以將其作為進一步勒索的人質。

一旦進入，Trinity 使用網路釣魚電子郵件、易受攻擊的軟體和惡意網站來獲取存取權限。然後，它進行網路偵察、掃描系統並橫向移動以提升權限。 Trinity 使用的一種高級策略是冒充合法進程的令牌，以擴大其在受害者網路中的影響力。

加密和勒索方法

獲得完全存取權限後，Trinity 使用強大的加密演算法對檔案進行加密。除非受害者擁有正確的解密金鑰，否則檔案將變得無用。每個受影響的檔案都帶有「.trinitylock」副檔名標記，清楚地標識了加密資料。

加密過程完成後，受害者會收到文字和 .hta 格式的勒索字條，以及顯示攻擊的修改後的桌面桌布。勒索資訊通常包括用於訪問攻擊者網站的洋蔥 URL 以及通訊說明。

其他勒索軟體系列的鏈接

HHS 指出，Trinity 與 2023Lock 和 Venus 勒索軟體系列極為相似。它們共享 ChaCha20 加密演算法，而且它們的勒索資訊、互斥體名稱和註冊表值幾乎相同。這些深層連結表明 Trinity 可能是 2023Lock 的直接繼承者，使其成為一個不斷演變的威脅。

對醫療機構的影響

醫療保健和公共衛生部門尤其容易受到影響。美國一家醫療機構已經成為該組織的受害者，截至目前，Trinity 的洩密網站列出了五名受害者。其中包括 Rocky Mountain Gastroenterology，攻擊者聲稱從該機構竊取了 330 GB 的資料。

目前，Trinity 勒索軟體沒有可用的解密工具，受害者幾乎沒有選擇。雖然有些人使用資料復原工具取得了部分成功，但網路安全專業人員的專家諮詢需求很高。

準備下一次攻擊

Trinity 和其他勒索軟體系列對醫療保健系統構成的風險是顯而易見的。您的組織應採取哪些步驟來防止攻擊？您目前的防禦足以抵禦破壞嗎？周到、主動的安全措施可能是成為受害者或保持安全的區別。