自有人類以來,就幾乎同時有病毒危害,而自有電腦以來,也同樣開始有了病毒威脅,
當健康與電腦一起受到「病毒」勒索時,這種邪惡可能比還不知道怎麼來的2019冠狀病毒還惡毒,而這一切,竟於9月27日發生在全美與英國共經營26間重症護理醫院、328間行為健康住院患者設施以及42間門診設施和非臥床護理中心,員工超過九萬人的美國最大醫療院所和健康服務供應商之一的Universal Health Services (UHS)身上,其中許多設施可是正在對抗COVID-19中。
UHS於隔天發表一份聲明,稱由於安全問題,其IT網絡當時處於離線狀態,正努力恢復中,最重要的是病患照顧,他們聲稱是安全有效地維持下去。不過據兩位知情人士表示,UHS系統遭受襲擊後,全國包括加州在內的多個UHS設施中,電腦與電話系統都不能使用,其中一人說,電腦螢幕被竄改成與Ryuk勒索軟體一樣的顯示字幕。他說:「每一個人都被通知要關閉電腦,而且就不要再打開它,可能要好幾天後才能再打開電腦。」
到了10月1日,UHS表示其所屬的全美250間醫療機構都受到影響,其中有些還是治療COVID-19的重要院所。在這些受影響的醫療院所中,許多已經被COVID-19搞得精疲力竭的醫生和護士們,不得不用最原始的手寫方式來做醫療記錄,檢驗室的工作也變慢了,員工們說已造成病患與醫護的混亂情況。在這回的聲明中,雖還是沒有明白對外宣布說遭到勒索病毒綁架,但對這個「IT安全問題」做了清楚描述,稱它就像受到惡意軟體攻擊一樣,把電腦中的資料加密成亂碼,只有在支付贖金後,才能使用軟體密碼鑰匙來打開恢復。UHS說:「系統很快就斷開連線,並將網絡關閉,以防止進一步傳播。」公司官方也許有所保留,但向媒體爆料的第一線醫護人員就非常抓狂,因為包括急診室等待時間變很長,以及是否患了COVID-19更難確定等重大醫療影響,都讓夠麻煩的瘟疫更麻煩。
「那位」知情人士蠻專業地描述了「IT安全問題」就像Ryuk攻擊,那麼Ryuk這個冷門勒索軟體是何方妖魔呢?根據網路安全公司Crowdstrike於去年一月初的分析報導,稱它是由俄羅斯網路犯罪集團WIZARD SPIDER所經營,2018年8月首度出現,專門針對大型組織機構來勒索高額贖金,所以被歸類為「該行業」玩大的軟體之一。它的通知信會說:「您的網絡已被滲透,網絡中的每台主機上的所有資料,都已被超強運算法加密。備份不是被加密就是被刪除,備份硬碟也被格式化了,影子備份則被刪除,所以按F8或其它任何方法,只會損壞加密資料,而不會恢復的…不要重啟或關閉,檔案可能會壞掉;別想重新命名或移動加密和讀我檔案;別想刪除讀我檔案。這些都可能會導致無法恢復某些檔案。」
如果電腦表現「一切屬實」,這真的會把用戶逼得欲哭無淚了。通知信往往會附上一個比特幣支付網址,至於金額則會依被勒索者規模與價值來計算,Crowdstrike迄發表文章為止,觀察到的最低贖金為1.7 BTC,最高為99 BTC,同時也截至撰寫該文之際,WIZARD SPIDER總共利用Ryuk發出37個BTC網址,獲得52筆轉帳,總金額達705.80 BTC,以當時BTC行情換算約370萬元。此前被勒索的知名對象包括航運巨頭Pitney Bowes、飲料商Arizona Beverages、鋁製造商Norsk Hydro、科學服務公司Eurofins甚至海岸警備隊等,都曾受「駭」於Ryuk過,但這些受駭者頂多被影響商業活動或公務運作,不會致命,如今竟連救命的醫療院所也被勒索,可見該病毒完全「盜亦無道」。
今年初,瘟疫全球肆虐之際,電腦資源網站BleepingComputer發函一些知名勒索軟體主使者,詢問是否會攻擊醫療保健機構,其中就包括Ryuk的主使者WIZARD SPIDER,但他們不做任何表態。而像CLOP勒索軟體就說他們從不攻擊某些類型機構,例如醫院和慈善團體,未來也不會。但藥商例外,在他們的觀念裡,藥商才是瘟疫最大獲利者;DoppelPaymer也說醫院和護理機構他們絕不攻擊,瘟疫期間也是如此。 醫療院所被勒索軟體攻擊,相信黑白兩道都不容,德國警方於九月中啟動一起謀殺案調查,一名婦女因為救命治療的醫院被惡意軟體攻擊,導致她必須轉到19哩遠的另家醫院,結果在轉院過程中死亡。無論惡意軟體動機為何,或者是否故意攻擊醫院,若案成立,這可能是全球首起勒索軟體殺人案。那麼Ryuk攻擊在美國擁有250間醫療保健機構的UHS,若有個閃失,它鐵定會被黑白兩道以屠殺罪名追殺的。
記者 Pegasus J. Juan
