Health-ISAC Hacking Healthcare 6-15-2021

TLP White: Tento týden Hackování zdravotnictví se věnuje agregaci a analýze víru nedávného vývoje ransomwaru ve veřejném i soukromém sektoru. Kromě rozboru toho, co se stalo, citujeme nové pokyny a doporučení a poskytujeme své myšlenky na to, jak byl tento vývoj užitečný nebo neužitečný při řešení problému ransomwaru.

Připomínáme, že toto je veřejná verze blogu Hacking Healthcare. Chcete-li získat další hloubkovou analýzu a názor, staňte se členem H-ISAC a získejte verzi TLP Amber tohoto blogu (k dispozici na členském portálu.)

Vraťte se zpět Hackování zdravotnictví.

1. Úvod

Ransomware neměl problémy s udržením pozornosti, protože v posledních týdnech přibývalo incidentů s velkým profilem. Vládní orgány a organizace soukromého sektoru se snaží řešit stále zoufalejší situaci a rychlost, s jakou se celková situace vyvíjí, může snadno přehlédnout kritický vývoj. S ohledem na to jsme věnovali toto vydání Hackování zdravotnictví k prozkoumání nedávného vývoje ransomwaru, posouzení jeho dopadu na soukromý sektor a zdůraznění řady doporučení, která mohou členové H-ISAC považovat za cenná.

Reakce vlády

Začínáme s Bidenovou administrativou. Administrativa učinila z kybernetické bezpečnosti prioritní oblast a nezjistila žádný nedostatek kritických incidentů kybernetické bezpečnosti, na které je třeba reagovat. Navzdory načasování, které se shodovalo s ransomwarovým útokem Colonial Pipeline, byly nedávné kybernetické výkonné příkazy administrativy týkající se ruského vměšování, problémů dodavatelského řetězce a kybernetické bezpečnosti přizpůsobeny především jako reakce na předchozí incidenty, jako je SolarWinds, a byly méně zaměřeny přímo na problém ransomwaru. . V posledních několika týdnech však Bidenova administrativa podnikla řadu kroků k řešení neutuchající vlny ransomwaru.

Ministerstvo spravedlnosti

Ministerstvo spravedlnosti (DOJ) je v této oblasti obzvláště aktivní.

Ransomware Task Force: Jak jsme stručně popsali v dřívějším vydání, koncem dubna bylo vydáno interní memorandum DOJ, které oznámilo vytvoření pracovní skupiny pro ransomware. Zpráva uznala, že ransomware není jen rostoucí ekonomickou hrozbou, ale také hrozbou pro zdraví a bezpečnost amerických občanů. Bylo oznámeno, že tato poznámka povede ke zlepšení sdílení zpravodajských informací napříč ministerstvem spravedlnosti, vytvoření strategie, která se zaměřuje na každý aspekt ekosystému ransomwaru, a celkově proaktivnější přístup.

Ransomware Elevation: Výše ​​uvedená strategie a přístup byly částečně odhaleny na začátku června, když bylo oznámeno, že byly rozeslány další interní pokyny ministerstva spravedlnosti, které přidělovaly vyšetřování útoků ransomwaru podobnou prioritu jako terorismus. Tento krok vyžaduje, aby případy a vyšetřování ransomwaru byly centrálně koordinovány s pracovní skupinou ransomwaru ve Washingtonu, DC, aby bylo zajištěno, že pro různé zainteresované strany zapojené do incidentů ransomwaru bude možné vytvořit nejlepší možné porozumění a operační obraz.

Výkupné: Když Colonial Pipeline zaplatila výkupné v bitcoinech, mnozí předpokládali, že pachatelé a peníze jsou stejně dobré jako pryč. Operace pod vedením FBI však dokázala zabavit 2.3 milionu dolarů v bitcoinech vyplacených jako výkupné. FBI údajně sledovala pohyb prostředků na výkupné na veřejně viditelné bitcoinové knize a poté získala přístup k virtuálnímu účtu, kde většina z nich skončila.

US CYBERCOM

Mimo DOJ hraje roli také US Cyber ​​Command (CYBERCOM), jehož posláním je „Směrovat, synchronizovat a koordinovat plánování a operace v kyberprostoru – hájit a prosazovat národní zájmy – ve spolupráci s domácími a mezinárodními partnery“. reagovat na hrozby ransomwaru.

Sluch: Při virtuálním slyšení minulý pátek odmítl generál Nakasone, současně šéf CYBERCOM a ředitel NSA, potřebu nových úřadů, které by šly po kyberzločineckých skupinách. Prohlásil, že si myslí, že má „všechny úřady, které potřebuji k tomu, abych mohl stíhat zpravodajsky proti těmto protivníkům mimo Spojené státy“. Když však konkrétně mluvil o ransomwaru, uvedl, že skutečnou výzvou a tou, na které se Bidenova administrativa snaží, je to, jak sdílet a koordinovat informace a akce s různými veřejnými a soukromými zainteresovanými stranami a zároveň určit, kdo se ujímá vedení v celkovém úsilí.

DHS

Pokyny – CISA: Rostoucí hrozba ransomwaru pro aktiva OT: Zvýšený význam ransomwaru také vedl k vydání dalších pokynů od vlády, včetně informačního listu CISA s názvem, Rostoucí hrozba ransomwaru pro aktiva provozních technologií. Třístránkový dokument poskytuje přehled o hrozbě ransomwaru, konkrétně pro aktiva OT, a poté nastiňuje kroky, které by organizace měly podniknout, aby se na ransomware připravily, zmírnily a reagovaly na něj.

Vývoj soukromého sektoru

V posledních týdnech došlo také k několika pozoruhodným vývojům ransomwaru, které se týkají soukromého sektoru. Bohužel tento vývoj měl tendenci být spíše negativní než pozitivní. Významné ransomwarové útoky nadále vedou k mnohamilionovým výkupným a americký Kongres byl velmi kritický k tomu, jak soukromý sektor na incidenty reagoval.

IST Ransomware Task Force (RTF): RTF, skupina ~60 odborníků z veřejného i soukromého sektoru, vydala 81stránkovou zprávu, která poskytuje podrobný a důkladný rámec pro boj s ransomwarem. Tento dokument by měl pomoci vzdělávat jednotlivce o nuancích ransomwaru a zároveň by měl poskytnout praktické a proveditelné politické akce.

RTF, který sdružuje Institute for Security and Technology (IST), zahrnuje zastoupení velkých technologických firem, jako jsou Microsoft a Amazon; kybernetické organizace jako Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber ​​Threat Alliance a Global Cyber ​​Alliance; a vládní organizace, jako je britské Národní centrum pro kybernetickou bezpečnost (NCSC) a Americká agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA).

JBS a CNA: JBS, jeden z největších zpracovatelů masa ve Spojených státech, se nedávno stal jedním z dalších vysoce profilovaných incidentů ransomwaru po Colonial Pipeline. Útok měl rozsáhlé dopady, protože byly údajně zasaženy všechny operace JBS v Austrálii, Kanadě a USA. Nakonec JBS zaplatila výkupné ve výši zhruba 11 milionů dolarů s úmyslem zajistit, aby pachatelé neukradli firemní data.

Tato platba však bledne ve srovnání s téměř 40 miliony dolarů, které pojišťovací organizace CNA Financial Corp. údajně vyplatila, aby „znovu získala kontrolu nad svou sítí po útoku ransomwaru“. I když se zdá, že k tomuto útoku došlo v březnu, podrobnosti o platbě výkupného byly zveřejněny až koncem května.

Nesouhlas Kongresu: Při slyšení v Kongresu minulý týden zákonodárci opakovaně jednali s generálním ředitelem Colonial Pipeline Josephem Bluntem o způsobu, jakým reagovali na jejich incident s ransomwarem. Někteří zákonodárci tvrdili, že dobrovolné kontroly kybernetické bezpečnosti Úřadem pro bezpečnost dopravy byly společností Colonial Pipeline odmítnuty, přičemž zástupkyně Bonnie Watson Coleman (D) uvedla: „Odkládání těchto hodnocení tak dlouho znamená jejich odmítnutí, pane.“ Jiní se postavili proti rozhodnutí ropovodu okamžitě nekontaktovat DHS a CISA ani nepřijmout jejich pomoc při operacích obnovy. Několik členů Kongresu zašlo tak daleko, že zpochybňovali, zda jsou dobrovolné standardy kybernetické bezpečnosti a „hands-off“ přístup ke kritické infrastruktuře stále udržitelné.

Akce a analýza
**Vyžadováno členství**

Kongres -

Úterý, červen 15th:

– Žádná relevantní slyšení

Středa, červen 16th:

– Senát – Výbor pro vnitřní bezpečnost a vládní záležitosti: Obchodní jednání ke zvážení nominací Jen Easterlyové na ředitelku Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury, Ministerstvo pro vnitřní bezpečnost, a Chrise Inglise na Národního kybernetického ředitele.

– Sněmovna reprezentantů – Výbor pro vnitřní bezpečnost: Kybernetické hrozby v potrubí: Poučení z federální reakce na útok ransomwaru Colonial Pipeline

Čtvrtek 17. června:

– Žádná relevantní slyšení

International Slyšení/Schůzky -

– Žádné relevantní schůzky

EU -

Konference, webináře a summity –

https://h-isac.org/events/

Kontaktujte nás: sledujte @HealthISAC a pošlete e-mail na adresu contact@h-isac.org

https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

https://www.cybercom.mil/About/Mission-and-Vision/

https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

https://securityandtechnology.org/ransomwaretaskforce/

https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

• Související zdroje a zprávy