LockBit 3.0 恶意软件迫使NHS技术供应商关闭托管网站

Advanced 是英国国家卫生服务局的托管软件提供商，该公司已证实，客户数据确实是作为网络坏人攻击的一部分而被窃取的，该攻击已经中断了数月的运营。

该攻击于 8 月 4 日首次被注意到，当时 Advanced 迅速将其部分基础设施下线，以遏制感染向其他系统的传播。因此，为客户托管的一系列网站不可用。

消息人士当时告诉我们，这一事件扰乱了医疗保健客户，迫使 NHS 111 医疗服务运营商在数字服务停止工作时恢复使用纸笔。

在昨天的事件更新中，Advanced 证实“攻击者本质上出于经济动机，能够从我们的环境中暂时获得与我们的 16 名 Staffplan 和 Caresys 客户有关的有限信息。”

Advanced 现在已按照其法律义务告知这些客户“泄露的数据”。该公司的事件更新称，没有从其托管的其他产品中获取任何数据，并且它已经“恢复了骗子从受感染系统中窃取的有限数据量”。

“[W]e 认为对个人造成伤害的可能性很低，”它补充道。“这是基于我们的威胁情报专家供应商在处理此类案件方面的丰富经验，以及没有证据表明相关数据存在于我们无法控制的其他地方这一事实。但是，我们正在监视暗网作为腰带和大括号的措施，并会在这种情况发生变化时立即通知您

至于切入点？访问是通过 Advanced 的网络获得的，使用合法的第三方凭据设置到 Staffplan Citrix 服务器的远程桌面会话。

“在初始登录会话期间，攻击者在 Advanced 的 Health and Care 环境中横向移动并升级权限，使他们能够进行侦察并部署加密恶意软件。就在加密系统之前，威胁者复制并泄露了有限数量的数据，”更新说。

微软和 Advanced 聘请的 Mandiant 已确认在攻击中部署的恶意软件是 LockBit 3.0，这是 6 月发布的勒索软件的最新版本。

“取证工作已接近完成，在现阶段，极不可能有其他发现，”事件更新中的高级状态。

它表示，在发现网络上的可疑​​活动后，它“断开了整个健康和护理环境”，以遏制感染传播；“通过采取这一行动，我们的客户无法访问”这些平台；补充说“数量有限的非健康和护理环境和服务，例如电子金融”。

据了解，Advanced 拥有 36 个 NHS 客户，为数千名医疗保健专业人员提供服务。受影响的服务包括托管 Adastra、Carey’s、Carenotes、Crosscare、Odyssey 和 Staffplan。据说 Adastra 与 85% 的 NHS 111 服务合作。

事件报告称，在英国国家网络安全中心、NHS 和 NHS Digital 的监督下，重建受影响的医疗保健服务的保证过程“花费了比预期更长的时间”并“影响了我们的整体恢复时间”。

Advanced 此前曾在 8 月 12 日告诉我们，它预计将在几周内恢复。从勒索软件中恢复平均需要7 到 21 天，而停机时间无疑是最昂贵的因素。克服攻击本身的代价可能是赎金需求的 10 倍。

事件报告补充说：“我们正在努力工作，并利用包括外部恢复专家在内的所有资源，以帮助我们尽快为客户恢复服务，并在此期间提供数据提取并酌情协助制定应急计划。”

据 Advanced 昨天报道，大约 90% 的 Adastra 托管网站重新上线，并且所有 Odyssey 托管网站都已上线。Carenotes 基地的重建和初步测试已经完成，Crosscare 客户可以请求数据提取。截至 9 月 29 日，Caresys 的恢复工作“继续进行”，托管的 Staffplan 客户可以请求数据提取。

Reg已询问 Advanced 是否有任何工作人员站出来对这次袭击负责，是否支付了赎金，并询问了被泄露数据的性质。®