11月18日消息，自2018年以来，全球已发生500次公开确认的针对医疗保健组织的勒索软件攻击。凶猛的攻势导致近13000个独立设施瘫痪，并影响到近4900万份病患记录。

总体估算，我们认为这些攻击仅由停机造成的经济损失就已超过920亿美元。

勒索软件攻击对各行业不同组织有着广泛的破坏力。其不仅能够将系统加密锁死，还可能将个人数据置于失窃与被利用的风险之下。而当来到医疗保健场景，相关风险将进一步提升，关键系统和患者数据可能无法访问，导致严重延误甚至危及病患生命安全。例如，阿拉巴马州一项将于本月开庭的诉讼就表明，2019年针对一家医院的勒索软件攻击已致使一名婴儿死亡。

下面，本文将探究勒索软件对全球医疗机构的攻击与影响。美国研究团队Comparitech使用全球勒索软件跟踪程序采集到的数据，探索了勒索软件在医疗保健领域引发的持续威胁，特别是这些攻击造成的真实成本。这次研究只涉及公开确认的攻击，所以实际数据可能更加触目惊心。

图：2018 年至 2022 年 10 月对医疗保健组织的勒索软件攻击

图：医疗保健勒索软件攻击次数（按组织类型划分）

请注意，某一国家比其他国家遭受的攻击次数更多，并不一定代表其更易成为攻击者的“目标”。相反，这可能代表着该国对勒索软件攻击的认识和报告更加成熟且深入。以美国为例，各州就有多种数据泄露报告工具和法规，有助于确认攻击事件。相比之下，其他国家/地区可能不存在同类工具或法规。

重要发现

2018年初至2022年10月期间，我们在研究中发现：

• 共有500起针对医疗机构的勒索软件攻击；其中2021年攻击数量最多，共发生166起。

• 共12961家独立医院/诊所/组织可能受到攻击影响。

• 攻击至少影响到4884万7107份个人病历，其中接近半数（约2000万份）来自2021年。

• 赎金要求从900美元到2000万美元不等。

• 我们估计，黑客索取的赎金总额已超过12亿美元。

• 我们估计，受害者已向黑客支付了近4400万美元赎金。

• 勒索攻击造成的停机时间从几小时到七个月（期间系统无法满负荷运转）不等。

• 攻击引发的平均停机时间从2021年和2022年开始急剧增加，分别为19.5天和16天。

• 全球勒索软件引发的医疗机构停机总成本估计为920亿美元。

• Conti、Pysa、Maze、Hive和Vice Society成为占比最高的几种勒索软件毒株，前三种在2020/2021年间占据主导地位，后两种在2021/2022年间占主导地位。

针对医疗保健组织的逐年/逐月勒索软件攻击统计

如前文提到，2021年是医疗保健组织遭受勒索软件攻击最严重的一年，占自2018年以来整个采样周期内所有攻击的33%（166起）。2020年同样占比不小，共发生137起攻击。

这两年恰逢新冠疫情大爆发。由于医疗机构运营压力巨大、资源捉襟见肘，恶意黑客也找到了趁虚而入的方法，例如疲惫的员工们更难发现包含勒索软件的网络钓鱼邮件。

2022年起，针对医疗保健组织的勒索软件攻击有所减少，截至10月底共83起。虽然数量较少，但预计这一数字在未来几个月内又会重新上升，因为不少攻击是在发生几个月后才被公开上报（例如当黑客已经对外公布数据，或向受影响患者发出通告时，相关机构才被迫承认）。

攻击数量：

• 2022年（截至10月）— 83起

• 2021年 – 166起

• 2020年 – 137起

• 2019年 – 78起

• 2018年 – 36起

受影响的病患记录数量：

• 2022年（截至10月）— 535万1462份

• 2021年 – 2000万8774份

• 2020年 – 488万9336份

• 2019年 – 1802万7346份

• 2018年 – 57万189份

平均停机时间：

• 2022年（截至10月）– 16.1天

• 2021年 – 19.5天

• 2020年 – 12.3天

• 2019年 – 13.3天

• 2018年 – 2.6天

各年停机时长和相应事件数量（已知部分）：

• 2022年（截至10月）– 514天 (32起事件)

• 2021年 – 974天（50起事件）

• 2020年 – 394天（32起事件）

• 2019年 – 279天（21起事件）

• 2018年 – 13天（5起事件）

估算总停机时间（将已知事件的平均值推衍至未知事件算出）：

• 2022年（截至10月） – 1334天

• 2021年 – 3232天

• 2020年 – 1685天

• 2019年 – 1037天

• 2018年 – 94天

估算停机成本：

• 2022年（截至10月） – 166亿美元

• 2021年 – 403亿美元

• 2020年 – 210亿美元

• 2019年 – 129亿美元

• 2018年 – 117亿美元

勒索软件攻击对医疗机构造成的真实成本

不同攻击事件提出的赎金数额往往存在很大差异，统计数字发现赎金最低可至900美元（法国伊苏丹的Centre Hospitalier de la Tour Blanche à Issoudun医疗中心于2019年上报），最高则达到2000万美元（由爱尔兰健康服务局于2021年上报）。造成这种差异的原因，可能是因多数组织并未透露赎金要求（特别是决定屈服、向黑客支付赎金的组织），所以抽样结果不足以反映整体趋势。

只有40起事件报告中给出的赎金数字。除以上提到的爱尔兰健康服务局外，其他赎金数字巨大的事件还包括：

• 以色列Hillel Yaffe医疗中心——1000万美元：2021年10月，黑客向以色列Hillel Yaffe医疗中心勒索1000万美元。该中心拒绝付款，整个恢复周期持续了约一个月。

• 法国Le Centre Hospitalier Sud Francilien——1000万美元：法国CHSF在2022年8月收到1000万美元赎金要求。LockBit团伙随后将赎金要求减少至100万美元，但截至本文撰稿时，受害方仍未付款。目前距离服务中断已过去三周，预计将在11月内全面恢复。

• 美国UF Health Central Florida——500万美元：虽然尚未确认受害方是否支付了赎金，但院方已经提交一份涉及70万981名患者的数据泄露报告，这似乎表明其没有屈服于黑客的压力。

根据目前掌握的数据，可以看到：

平均勒索金额：

• 2022年（截至10月） – 188万7058美元

• 2021年 – 579万2857美元

• 2020年 – 69万624美元

• 2019年 – 38万6067美元

• 2018年 – 19400美元

索取的赎金总额（已知部分）：

• 2022年（截至10月）– 1887万美元（10起事件）

• 2021年 – 4055万美元（7起事件）

• 2020年 – 414万美元（6起事件）

• 2019年 – 463万美元（12起事件）

• 2018年 – 97000美元（5起事件）

受害方支付赎金的百分比：

• 2022年（截至10月）– 13%（16起事件中，有2起支付了赎金）

• 2021年 – 9%（35起事件中，有3起支付了赎金）

• 2020年 – 26%（38起事件中，有10起支付了赎金）

• 2019年 – 30%（40起事件中，有12起支付了赎金）

• 2018年 – 36%（14起事件中，有5起支付了赎金）

通过这些数字，我们可以估算出：

赎金估算总额：

• 2022年（截至10月）– 1.566亿美元

• 2021年 – 9.616亿美元

• 2020年 – 9460万美元

• 2019年 – 3010万美元

• 2018年 – 69万8400美元

已支付赎金的估算总额：

• 2022年（截至10月）– 2140万美元

• 2021年 – 无法确认支付赎金总额

• 2020年 –1930万美元

• 2019年 – 270万美元

• 2018年 – 38万5714美元

可以看到，近年来勒索软件攻击提出的赎金要求一路飙升，但能够确认的赎金支付数额并不算大。随着人们对勒索软件的认知不断提高，更多企业可能不会公开赎金要求以及是否支付了赎金。毕竟有观点认为，承认支付赎金只会给这些组织招来更多后续勒索攻击。

这一观点有其事实支撑。2021年根本无法确认支付赎金总额，而2022年也仅有一笔赎金上报：恶意黑客对卢森堡、比利时和荷兰的130多处分支机构系统造成严重破坏之后，牙医诊所Colosseum Dental为此支付了超过200万美元赎金。

用停机时间计算损失

可以看到，单靠赎金来计算勒索软件攻击造成的损失非常困难。但我们发现，此类事件中还有另一个更易于衡量的因素——停机时间。

在多数情况下，勒索软件攻击都会导致系统在数小时、数天、数周甚至数月之内无法访问。在某些极端情况下，系统甚至无法恢复正常。

从前文数据可以看到，我们整理到共140个实体的停机时间，总停机时长为2174天，相除计算得出每起攻击事件的平均停机时长。以此为依据，即可估算出所有上报勒索软件攻击的停机总时长——结果为，全球医疗保健组织因停机而承受的业务中断总计7381天，相当于20多年。

2017年的一项研究发现，20个不同行业的平均每分钟停机成本估算为8662美元。按同样的标准计算，医疗保健组织仅因系统停机就损失了超过920亿美元。

尽管这个数字看似巨大，但从部分医疗机构在遭受攻击后披露的信息来看，好像也不是那么夸张。

例如，爱尔兰健康服务局就透露，在攻击发生之后，他们花费了21亿美元升级其IT系统。2021年针对美国Scripps Health的攻击也造成了超1.12亿美元损失。

针对医疗机构的勒索软件攻击仍是一大突出威胁

尽管2022年针对医疗保健组织的勒索攻击数量有所下降，但这并不代表威胁程度有所降低。可以看到恶意黑客提出的赎金数字和造成的停机时间愈发可观，而且黑客可能也在选取更具针对性的攻击方法，确保用更广泛的破坏力提升收到赎金的机率。

此外，针对系统进行加密锁定和数据窃取的“双重勒索”也愈发多见。即使受害实体能够利用备份快速恢复系统，恶意黑客仍然掌握着大量病患私人数据，足以强迫企业选择接受谈判。而且即使企业方最终拒绝支付赎金，出售这些数据也可能给黑客带来巨额利润。

勒索软件攻击有所减少的另一个原因（此趋势在美国乃至全球各行业均有体现）在于，组织对于遭受攻击的态度越来越“低调”。随着人们对勒索攻击认知的增加，受影响实体不太愿意以坦诚的态度上报此类事件。这一方面源自遭受勒索软件攻击带来的耻辱感，另外也是担心会在未来招致更多攻击。

研究方法

从勒索软件攻击图谱中的数据来看，我们在研究中共发现了500起针对医疗保健组织的勒索软件攻击。结合数据内容，我们最终估算出了赎金总额、是否支付赎金以及造成的停机时间。

对于未给出具体停机数字的事件，例如“数日”、“一个月”或“六周后已恢复至80%”，我们会根据数字的下限进行估算。例如，“数日”计为3天，“一个月”计为攻击发生当月的总天数，“六周后已恢复至80%”则直接计为六周。

对于受勒索攻击事件影响的组织，我们将其整理为17种具体类型，定义如下：

• 学术性医院

• 救护服务

• 诊所：提供全方位医疗保健服务的诊所

• 诊所网络：由多家诊所组成的体系，提供全方位的医疗保健服务

• 牙医诊所：提供牙科保健服务的诊所

• 政府卫生部门：受健康相关数据泄露影响的一般政府部门/实体，例如人类卫生服务部/州政府

• 家庭/老年护理：包括在当地社区提供社会服务的组织

• 医院

• 医院网络：由多家医院组成的体系，提供全方位的医疗保健服务

• 实验室：以医疗健康为基础的实验室业务

• 心理健康：为成瘾性等精神疾病提供支持的服务机构

• 验光诊所：提供眼科保健服务的诊所

• 药房：专门提供药品的组织/网络

• 康复服务

• 医疗研究机构

• 专科诊所：面向特定医疗保健领域的诊所，例如内科诊所或康复中心

• 专科诊所网络：同上，但拥有多家诊所/多个运营地点