Emotet：医疗行业中最常见的特洛伊木马

重要信息要点

特洛伊木马是影响医疗行业计算机系统的最常见恶意软件，其中 Emotet 是最常见的类型。对 Emotet 的全球执法行动未能完全根除该威胁，该恶意软件在 2021 年再次出现，使用了改进的指令和下发能力。过去，Emotet 已经攻击了多个医疗机构，包括加利福尼亚大学旧金山分校。HC3 呼吁医疗机构加强防御措施，并检查相关的安全报告和建议。

根据美国健康与人类服务部的网络安全协调中心通报，特洛伊木马是影响医疗行业计算机系统的最常见恶意软件，其中 Emotet 是最常见的变体。

尽管全球执法机构在 2021 年一月对 Emotet 机器人网络进行打击，使用了“定时清除器”，但它在不到一年的时间内再次出现，并使用了改进的命令和下发能力。Emotet 操作者还开始使用 Cobalt Strike，努力重建该机器人网络。

这款恶意软件首次出现于 2014 年，作为银行特洛伊木马，并且是持续时间最长的网络犯罪运营之一。Emotet 在 2019 年成为最具主导地位的恶意软件变体之一。

在过去，Emotet 已造成多个医疗机构受害，包括加利福尼亚大学旧金山分校，该校在 2020 年 6 月支付了 114 万美元，以换回其医学院被窃的数据。

在 2020 年 12 月，Emotet 最后的几次活动中，观察到其每天发送超过 100000 封电子邮件，并利用了新的躲避策略。这一威胁的背后操作人员经常利用疫情相关的恐惧来设计攻击策略。

Emotet 以其躲避策略而闻名，运营商不断调整变体，以确保最有效的负载。在活跃时，它通常是最大的恶意电子邮件发送者之一。HC3 警告称，“要开始 Emotet 攻击，所需的只是用户在恶意文档中点击‘启用内容’以激活宏。”

此前的机器人网络活动和基础设施被用作全球范围内的主要通道，Emotet 操作人员在暗网上向其他网络罪犯出售被攻击者网络的访问权。该恶意软件主要通过全自动的钓鱼过程发送，电子邮件中附有恶意的 Word 文档。

根据最新的Emotet 研究，Proofpoint 的研究人员观察到，操作人员似乎在测试针对 Microsoft OneDrive URL 的新策略。他们观察到一小部分恶意电子邮件通过 OneDrive URL 分发 Emotet。这些策略的使用偏离了典型的 Emotet 行为，表明该团队正在测试新的攻击技术。

HHS 发出警告，针对医疗保健行业的 Emotet 威胁仍在持续媒体