医院勒索软件攻击导致337,917名患者信息泄露

库克维尔地区医疗中心勒索软件攻击：事件经过

田纳西州库克维尔地区医疗中心（CRMC）发生重大医院数据泄露事件，近338,000名个人受到波及，使其成为近几个月来报告的较为严重的医疗勒索软件事件之一。该医院已正式向监管机构通报此次泄露事件，将攻击归咎于Rhysida勒索软件组织——一个有着针对医疗机构犯罪记录的网络犯罪组织。

根据CRMC的披露，攻击者在泄露事件得到控制之前，已窃取约500GB的敏感数据。被泄露的信息包括患者姓名、社会安全号码、医疗记录以及财务账户详情。在对事件范围和性质进行了漫长的取证调查后，CRMC于2026年4月18日开始向337,917名受影响个人邮寄通知信。

攻击发生与通知发出之间的时间差，反映出此类调查的复杂性。医疗机构在联系受影响人员之前，必须仔细确认究竟哪些数据被访问、数据归属于谁，以及适用哪些监管义务。

Rhysida勒索软件组织的运作方式

Rhysida是一个至少自2023年起活跃的勒索软件即服务组织。该组织通常通过网络钓鱼邮件或利用窃取的凭证获取初始访问权限，随后在网络中横向移动，再窃取数据并部署加密程序。双重勒索模式意味着受害者不仅面临系统被锁定的威胁，还面临若不支付赎金数据将被公开或出售的威胁。

医疗机构之所以频繁成为攻击目标，是因为它们持有高价值的个人和医疗数据，往往运行存在已知漏洞的老旧系统，且面临快速恢复服务的巨大压力。这种压力使其更有可能支付赎金，从而使其成为更具吸引力的攻击目标。

CRMC数据泄露事件是一个典型案例，揭示了一次成功入侵如何能够泄露数十万人的记录，包括病历和社会安全号码等高度敏感的信息。

这对您意味着什么

如果您收到了CRMC的通知信，或者您曾是该机构的患者，现在应立即采取以下具体措施。

密切监控您的财务账户。 此次泄露同时暴露了财务账户详情和个人身份信息。定期检查银行和信用卡账单，留意陌生交易。如发现任何可疑情况，请立即联系您的金融机构。

申请信用冻结或欺诈警报。 由于社会安全号码属于被泄露数据之一，受影响个人面临更高的身份盗窃风险。在三大主要信用机构（Equifax、Experian和TransUnion）申请信用冻结，可防止在未经您明确授权的情况下以您的名义开设新账户。欺诈警报则是一种较为温和的选项，可为您的档案标记额外审查。

警惕网络钓鱼攻击。 在此类泄露事件中获取数据的攻击者，往往会利用这些数据精心设计具有欺骗性的后续钓鱼邮件或电话。对于主动联系您并涉及您医疗情况的通讯，尤其是那些要求您点击链接或提供额外个人信息的，应保持高度警惕。

仔细阅读通知信。 CRMC的信件应包含您的具体信息受影响情况的详细说明，以及医院提供的信用监控或身份保护服务信息。如有相关服务，请务必加以利用。

医疗机构和医疗工作者如何降低风险

对于医疗专业人员和管理人员而言，CRMC泄露事件凸显了分层安全实践的重要性。凭证盗窃是勒索软件组织最常见的入侵途径之一。使用VPN，尤其是在不安全或公共网络环境下，有助于加密流量，降低登录凭证在传输过程中被截获的风险。这对于远程访问患者记录或医院系统的医疗工作者尤为重要。

除使用VPN外，对所有处理受保护健康信息的系统实施强密码管理和多因素认证也至关重要。网络钓鱼意识培训仍是抵御Rhysida等组织所依赖的初始入侵手段的最有效防御措施之一。

定期审计敏感系统的访问权限，结合最小权限访问控制，还可以限制攻击者一旦进入网络后的横向移动范围。从CRMC窃取的500GB数据表明，攻击者有足够的时间和访问权限在医院数据环境的大部分区域内活动。

防范医疗数据泄露

CRMC医院数据泄露事件提醒我们，医疗数据是现存最敏感的信息之一。医疗记录将个人身份信息、财务详情和私密健康历史集于一个文件之中，使其对犯罪分子极具价值，一旦泄露后果极为严重。

如果您受到此次泄露影响，请立即采取行动。冻结您的信用，监控您的账户，并对网络钓鱼保持警惕。如果您在医疗行业工作，请将此次事件作为审视自身安全习惯的契机，包括您访问患者系统的方式和地点。降低个人风险的工具已经存在，关键在于在事件发生前持之以恒地加以运用。