摘要:医疗行业85%威胁源自邮件,单纯勒索攻击激增300%,患者生命安全危机凸显。

医疗行业快速的数字化和日益增强的互联性正在使临床技术暴露于其设计之初从未能抵御的威胁之下,数字化转型、云应用、远程访问和AI驱动的工作流程已极大地扩展了医疗领域的攻击面。

打开网易新闻 查看精彩图片

Trellix在周二发布了一份关于医疗行业的新报告,报告基于2025年Trellix产品在医疗环境中产生的5470万次检测,回顾了最重大的数据泄露事件,描述了最有效的防御措施,并勾勒了最危险攻击者的特征。安全419现将报告的核心要点和深度洞察整理如下,以供各位行业同仁参考。

核心要点与深度洞察

核心要点与深度洞察

  1. 电子邮件是首要威胁载体(占全部检测的85%);而美国是最大目标(占全部检测的75%)。
  2. "连锁效应"——即一个系统的中断引发连锁反应并导致其他系统瘫痪,代表了2025年医疗网络安全领域的"决定性趋势"。针对非临床的OT系统(如楼宇的HVAC)的攻击,可能导致整个临床工作流程瘫痪;几乎所有医院都管理着至少一个存在已知漏洞的设备。医疗设备平均存在6.2个软件漏洞。这些都是“连锁效应”的直接体现,医疗行业对设计时未考虑安全的遗留设备的依赖,是一个重大的安全漏洞。
  3. Trellix在其报告指出:"网络事件不再仅仅是IT中断。它们已成为一场患者安全危机,这些中断不仅仅是财务上的;它们是致命的。一项关于网络攻击导致医院计算机系统瘫痪后的死亡率及其他患者伤害的研究表明,受影响医院住院患者死亡率上升29%;同时因因急诊分流,周边医院心脏病死亡率激增81%。
  4. 2025年,针对医疗组织的所有攻击中有12%仅涉及勒索,较2023年增长了300%。
  5. 越来越多的勒索软件团伙正在对医疗公司使用纯勒索策略(不加密数据),这一转变反映了该行业对私人数据暴露的独特关切。
  6. 一份被盗的电子健康记录在黑市售价约60美元,是信用卡信息的20倍。高价值临床数据集单价可达250美元。这些数据直观说明了医疗数据为何成为攻击者眼中的“高价值资产”,这才是攻击持续发生的根本驱动力。
  7. 2025年,多个勒索软件团伙利用了医疗行业的脆弱性。麒麟(Qilin)在整个年度"演变为一种高频率运作模式",使用基于Linux和ESXi的恶意软件攻击存储电子健康记录的数据库。另一个组织INC Ransom在2025年迅速崛起,对医疗组织发起了34次攻击,约占年度总数的10%。还有包括专注于生物技术公司和其他专业医疗公司的新组织Sinobi,以及因大规模数据窃取而臭名昭著的Devman2。同时,RansomHub的附属模式帮助其在2025年对该行业发动了一些最具破坏性的攻击。
  8. 勒索组织利用患者隐私的高敏感性,绕过企业法律和保险流程,直接向患者勒索50至500美元小额赎金加速获得付款。
  9. 网络钓鱼仍然是最有效的入侵策略(在89%的事件中作为初始访问手段),黑客现在正通过诸如"AI转型"和"法规遵从"等主题使其诱饵对IT管理员更具吸引力。在命令与控制基础设施方面,黑客使用包含"HIPAA"等医疗术语的恶意域名,以及在合法医疗网站内构建的恶意子域名。

Trellix是一家全球领先的网络安全公司,专注于通过人工智能(AI)与分析技术重塑安全运营。该公司由私募股权公司STG(Symphony Technology Group)在2021年至2022年间,通过先后收购并整合网络安全领域的知名企业迈克菲(McAfee)的企业业务和火眼(FireEye)公司而成立。此次整合旨在打造一个全新的、专注于扩展检测与响应(XDR)解决方案的安全领导者。

Trellix的核心是其市场领先的AI驱动XDR平台。该平台倡导“活安全”理念,能够学习和适应,以应对高级威胁。其最大特点之一是开放的架构,它不仅集成了自身在端点、网络、云、邮件和数据安全等方面的广泛原生控制能力,还能与超过500种第三方安全工具进行集成和关联分析,从而为客户提供跨向量、跨厂商的统一威胁视角,大幅加快调查响应速度。

此外,Trellix高级研究中心通过遍布全球的传感器网络,持续为平台输入最新的威胁情报。凭借其强大的技术整合与开放生态,Trellix为全球超过40,000家企业和政府客户提供保护,致力于构建一个有韧性的数字世界。