TTUHSC是德克萨斯理工大学系统下的公共学术健康机构，负责培养和培训医疗专业人员、开展医学研究并提供患者护理服务。

2024年9月，TTUHSC宣布遭遇一次涉及敏感数据盗窃的网络攻击，导致部分计算机系统和应用程序暂时中断。官方声明称，网络安全事件导致了对其部分文件和文件夹的访问或删除。事件发生在2024年9月17日至9月29日期间。

根据向美国卫生与公共服务部民权办公室的报告，本次数据泄露事件影响了约1,465,000名个人。泄露的信息包括但不限于以下内容：

• 姓名
• 出生日期
• 住址
• 社会安全号码（SSN）
• 驾照号码
• 政府ID号码
• 财务账户信息
• 健康保险信息
• 医疗信息
• 账单/索赔数据
• 诊断与治疗信息

TTUHSC表示，受影响的个人将被通知并提供免费的信用监控服务。受影响的人员被建议保持警惕，防范可能的钓鱼攻击和社交工程攻击，定期检查信用报告和健康保险账单，并将任何可疑活动报告给相关部门。

2024年10月27日，Interlock勒索病毒团伙声称对德克萨斯理工大学健康科学中心（TTUHSC）发生的网络攻击负责。尽管攻击发生近一个月后，TTUHSC已成功阻止攻击者对其系统的进一步访问，但攻击者在暗网泄露网站上表示：“我们为您提供了一大批机密文件，包括患者数据、医学研究数据和大量SQL数据库。”

此次攻击窃取的数据总量达到2.63TB，共计2102989个文件，涵盖超过100,000个文件夹。泄露的证据包括驾驶证扫描件、临床报告、护照扫描件、税务文件和医学影像。泄露的完整数据集已被公开，其中包括特定医生的文件夹、入院数据和详细的医疗记录。这些文件目前可通过勒索网站下载。

Interlock勒索团伙是一个新兴的网络犯罪组织，专门针对企业实施勒索攻击。该团伙不仅加密受害者数据，还会窃取敏感信息，并威胁公开或出售这些数据，形成双重勒索压力。攻击通常通过钓鱼邮件、RDP弱口令爆破和漏洞利用等方式进行。

攻击特点：精准与双重打击

Interlock的攻击模式以双重勒索策略为核心。这一策略不仅加密受害者的数据，同时窃取敏感信息，并威胁受害者若不支付赎金，窃取的信息将被公开或出售。此策略极大地增加了企业妥协的可能性。

更令人担忧的是，Interlock倾向于对特定行业发起定向攻击，目标涵盖制造业、医疗保健、金融等领域。这种高度定向的攻击手段显示出其对行业内部弱点和业务流程的深入了解。

技术手段：不断升级的攻击链

Interlock勒索团伙展示了较高的技术成熟度，其攻击手段体现出对最新漏洞和社会工程学的灵活运用：

1. 恶意软件传播 Interlock通常通过以下几种方式实现初始感染：
1. 钓鱼邮件：设计精巧的邮件诱骗用户点击恶意链接或下载附件。
2. RDP弱口令爆破：利用弱密码破解远程桌面协议，获取管理员权限。
3. 漏洞利用：利用未修补的应用程序和操作系统漏洞植入恶意软件。
2. 加密技术 Interlock使用强加密算法（如AES结合RSA）对受害者文件进行加密，加密后的文件通常带有独特的后缀，使受害者无法自行恢复数据。
3. 勒索信传递 攻击完成后，Interlock会在受感染的设备上留下勒索信（通常为文本文件），详细说明支付赎金的方式及联系途径。
4. 逃避检测 Interlock在设计其恶意软件时融入了高度复杂的代码混淆和动态加载技术，能够有效绕过EDR（端点检测与响应）以及传统杀毒软件的检测。

运营模式：RaaS（勒索软件即服务）

Interlock可能采用勒索软件即服务（RaaS）的运营模式。通过这种模式，Interlock为其他攻击者（子代理）提供勒索软件工具和技术支持，从而扩大攻击范围，并通过赎金分成获取利润。此类模式不仅降低了勒索软件的技术门槛，还提高了其传播效率，进一步增加了企业防御的难度。

BleepingComputer获悉，Interlock勒索团伙的勒索金额从数十万美元到数百万美元不等，具体金额取决于受害组织的规模。

https://www.bleepingcomputer.com/news/security/texas-tech-university-system-data-breach-impacts-14-million-patients/

https://www.cyberdaily.au/security/11526-texas-tech-university-confirms-data-breach-impacting-medical-records-of-1-4m-patients#:~:text=According%20to%20reports%2C%201.4%20million,by%20the%20Interlock%20ransomware%20gang.