انتقل إلى المحتوى الرئيسي

اختراق الرعاية الصحية في H-ISAC 2-9-2021

TLP White: هذا الأسبوع، اختراق الرعاية الصحية يبدأ هذا المقال بنظرة أخرى على برامج الفدية. وعلى وجه التحديد، نقوم بتحليل الاتجاهات التي ظهرت على مدار العام الماضي، والبيانات من الربع الأخير من عام 2020 وما تخبرنا به عن الاتجاه الذي تتجه إليه الأمور، ولماذا قد يكون انخفاض ربحية برامج الفدية بالنسبة لمجرمي الإنترنت ضارًا بالفعل بقطاع الرعاية الصحية. ونختتم بتحليل "تهديد" إلكتروني غير تقليدي يحتمل أن يضر بتوزيع التطعيم، ولماذا قد لا يكون من السهل إيجاد الحلول.

كتذكير، هذه هي النسخة العامة من مدونة Hacking Healthcare. للحصول على تحليلات وآراء أكثر تعمقًا، انضم إلى H-ISAC واحصل على نسخة TLP Amber من هذه المدونة (المتاحة في بوابة الأعضاء).

 

مرحبًا بك مرة أخرى اختراق الرعاية الصحية.

 

1. مراجعة برنامج الفدية لعام 2020

يبدو أن الرهان الآمن على أن برامج الفدية ستظل آفة في عام 2021، لكن بعض المعلومات التي تم إصدارها حديثًا تشير إلى أن الأساليب والتكتيكات المتطورة ستساعد في ضمان بقاء الوضع متقلبًا. ساعد عدد من التقارير الأخيرة في وضع حجم المشكلة في سياقها، ولم يكن التأثير الهائل الذي أحدثته برامج الفدية على قطاع الرعاية الصحية مفاجئًا. هناك العديد من النتائج الجديرة بالملاحظة من هذه البيانات، بما في ذلك الأخبار المشجعة المحتملة التي تشير إلى أن هجمات برامج الفدية أصبحت أقل ربحية للجناة. ومع ذلك، سيستكشف قسم التحليل لدينا لماذا قد لا يشير ذلك إلى فائدة لقطاع الرعاية الصحية.

 

الملخص

 

أولاً، دعونا نستعرض سريعًا الوضع الحالي. كانت التحديات التي واجهها قطاع الرعاية الصحية هائلة على مدار العام الماضي، ومن المؤكد أن مجرمو الإنترنت لم يجعلوا التعامل مع كوفيد-19 أسهل. فقد أبلغت شركة VMware Carbon Black عن 239.4 مليون محاولة هجوم إلكتروني ضد عملاء الرعاية الصحية وحدهم في عام 2020، وبلغت ذروتها في الإحصائية التي لا تصدق تقريبًا والتي تفيد بأن "كيانات الرعاية الصحية شهدت 816 هجومًا لكل نقطة نهاية العام الماضي، بزيادة مذهلة بلغت 9,851 في المائة عن عام 2019".[1] تأتي هذه المعلومات بعد أسابيع فقط من إعلان شركة الأمن السيبراني Emsisoft أن ما لا يقل عن 560 منشأة لتقديم الرعاية الصحية تعرضت لهجمات برامج الفدية في عام 2020.[2]

 

ومن المحبط أن أكثر برامج الفدية انتشارًا التي ضربت قطاع الرعاية الصحية كانت Cerber. فقد انتشر Cerber بشكل كبير في عام 2017، ثم انخفض بشكل كبير بحلول عام 2018، قبل أن يعاود الظهور مرة أخرى في العام الماضي ويمثل 58% من هجمات برامج الفدية ضد عملاء VMware Carbon Black في قطاع الرعاية الصحية.[3] وفي حين أشارت شركة Carbon Black إلى أن Cerber خضع لتحديثات وتعديلات، فإن بعض نجاحات المتغيرات في عام 2020 مرتبطة على الأرجح بثغرات أمنية غير مُرقعة، مما يسلط الضوء مرة أخرى على صعوبة إضافية تتعلق بالأمن السيبراني في قطاع الرعاية الصحية.[4]

 

علامة إيجابية ذات احتمالات خطيرة

 

اختتمت شركة Coveware للاستجابة لبرامج الفدية والاسترداد بأخبار جيدة محتملة، حيث أصدرت تقرير ربع سنوي عن برامج الفدية في الربع الرابع من عام 4، يوم الاثنين الماضي، يبدو أن أهم ما توصلوا إليه هو تقريرهم بأن مدفوعات برامج الفدية قد انخفضت بشكل كبير. وبحسب أرقامهم، انخفض متوسط ​​مدفوعات برامج الفدية بنحو 2020% عن الربع الثالث من عام 34، إلى 3 دولارًا من 2020 دولارًا.[5] بالإضافة إلى ذلك، شهد متوسط ​​مدفوعات الفدية في الربع الرابع انخفاضًا أكبر بنحو 4%، من 55 دولارًا إلى 49,450 دولارًا.[6]

 

قبل هذا التقرير الأحدث، كانت شركة Coveware قد أبلغت سابقًا عن زيادات ثابتة في متوسط ​​مدفوعات برامج الفدية منذ الربع الرابع من عام 4.[7] وتعزو شركة كوفوير الانخفاض الأخير جزئيًا إلى تآكل الثقة في أن الجهات الفاعلة في مجال برامج الفدية التي تستخرج البيانات ستحذفها بالفعل عند تلقي فدية. وقد أدت العديد من الأمثلة على البيانات "المحذوفة" التي يتم إعادة بيعها في السوق السوداء، أو استخدامها لاحتجاز منظمة مقابل فدية للمرة الثانية، إلى تغيير حسابات المخاطر لضحايا برامج الفدية.

 

في حين يحتوي التقرير الكامل على مزيد من المعلومات، فقد لفتت انتباهنا بعض الملاحظات المثيرة للاهتمام. أولاً، يواصل التصيد عبر البريد الإلكتروني صعوده كناقل للهجمات، حيث تجاوز علامة 50% وتجاوز اختراق RDP. ثانيًا، تضمنت حوالي 70% من هجمات برامج الفدية في الربع الرابع تهديدًا بتسريب البيانات المسربة، بزيادة قدرها 4 نقطة مئوية عن الربع الثالث.[8] وعلاوة على ذلك، أفادت شركة Coveware بأن الجهات الخبيثة تذهب إلى حد "افتعال تسريب البيانات في الحالات التي لم يحدث فيها ذلك". ومع ذلك، فإن الجزء الأكثر إثارة للقلق من المعلومات قد يكون الزيادة في "حالات تدمير البيانات بشكل لا رجعة فيه بدلاً من مجرد التدمير المستهدف للنسخ الاحتياطية أو تشفير الأنظمة الحيوية".[9]

 

العمل والتحليل

**العضوية مطلوبة**

 

 

2. الرعاية الصحية تواجه "تهديدًا" إلكترونيًا غير تقليدي

في حين تواجه فرق الأمن السيبراني وتكنولوجيا المعلومات في قطاع الرعاية الصحية بالفعل تحديًا هائلاً يتمثل في الحفاظ على خصوصية وأمن شبكاتها وبياناتها في مواجهة جميع أنواع التهديدات التقليدية الحكومية وغير الحكومية، فقد يكون هناك تحدٍ تقني غير تقليدي آخر حيث يمكن أن تكون مهاراتهم مفيدة.

 

في عجلة من أمرنا لتطعيم بلدان بأكملها، تواجه منظمات الرعاية الصحية مهمة إدارية ولوجستية غير مسبوقة تتمثل في تنظيم المواعيد للمرضى مع السعي إلى تقليل الهدر المحتمل لجرعات اللقاح الثمينة إلى أدنى حد ممكن. وللمساعدة في هذا الجهد، استخدمت العديد من المنظمات شكلاً من أشكال البوابة الإلكترونية أو الجدول الزمني. حتى أن وزارة الصحة والخدمات الإنسانية الأمريكية أصدرت إشعارًا بسلطة تقديرية لإنفاذ القانون. تطبيقات الجدولة عبر الإنترنت أو عبر الويب.[10] لسوء الحظ، أصبحت هذه المجدولة ضحية لهجمات "الروبوتات" التي ينظمها المضاربون.

 

وبحسب وكالة رويترز، فإن "متاجر التجزئة والصيدليات في الولايات المتحدة مثل Walgreens وCVS Health تستعد لجولة جديدة من هجمات "الروبوتات" من قبل المضاربين على أمل اغتنام مواعيد لقاح COVID-19".[11] في حين أن هذا النوع من السلوك مألوف لأي شخص يحاول شراء سلع بكميات محدودة، مثل أحدث الأدوات التقنية أو تذاكر الأحداث الرياضية، فإن كلا من هاتين الحالتين يمكن تصنيفهما بسهولة على أنهما مصدر إزعاج. لا يمكن قول الشيء نفسه إذا بدأ مثل هذا السلوك يؤثر بشكل كبير على عمليات طرح التطعيم.

 

وبحسب وكالة رويترز، "في الأسابيع الأخيرة، شارك الناس على شبكات التواصل الاجتماعي قصصًا مرعبة عن محاولة تأمين مواعيد التطعيم من مصادر حكومية، حيث ألقى البعض باللوم على الروبوتات في تعطل الموقع وسرقة المواعيد". وأشارت كل من Walgreens وCVS إلى أنهما على دراية بالمشكلة وقد أنشأتا دفاعات متعددة للكشف والوقاية.

 

العمل والتحليل
**العضوية مطلوبة**

 

 

مؤتمر -

 

الثلاثاء، 9th فبراير:

- لا توجد جلسات استماع ذات صلة

 

الأربعاء فبراير 10th:

- مجلس النواب - جلسة استماع للجنة الأمن الداخلي: الأمن السيبراني في الوطن: تقييم التهديدات السيبرانية وبناء القدرة على الصمود

 

 

الخميس 11 فبراير:

- لا توجد جلسات استماع ذات صلة

 

 

الدولي جلسات الاستماع/الاجتماعات -

 

- لا توجد جلسات استماع ذات صلة

 

 

الاتحاد الأوروبي -

 

- لا توجد جلسات استماع ذات صلة

 

 

 

متفرقات –

 

 

 

 

المؤتمرات والندوات عبر الإنترنت والقمم       

 

 

https://h-isac.org/events/

 

اتصل بنا: تابع @HealthISAC، وأرسل بريدًا إلكترونيًا إلى contact@h-isac.org

 

[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point

[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020

[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf

[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S

  • الموارد والأخبار ذات الصلة