H-ISAC Hacking Healthcare 2-9-2021
TLP White: Denne uge, Hacking Healthcare begynder med endnu et kig på ransomware. Specifikt analyserer vi tendenser, der dukkede op gennem det seneste år, data fra sidste kvartal af 2020, og hvad det fortæller os om, hvor tingene er på vej hen, og hvorfor ransomware bliver mindre lukrativt for cyberkriminelle faktisk kan være skadeligt for sundhedssektoren. Vi afslutter med at nedbryde en ikke-traditionel cyber-trussel, der har potentiale til at skade vaccinationsudrulningen, og hvorfor løsninger måske ikke er så nemme at finde.
Som en påmindelse er dette den offentlige version af Hacking Healthcare-bloggen. For yderligere dybdegående analyse og mening, bliv medlem af H-ISAC og modtag TLP Amber-versionen af denne blog (tilgængelig i medlemsportalen.)
Velkommen tilbage til Hacking Healthcare.
1. Ransomware-gennemgang 2020
Det virker som et sikkert bud, at ransomware fortsat vil være en plage i 2021, men nogle nyligt udgivne oplysninger tyder på, at udviklende metoder og taktikker vil hjælpe med at sikre, at situationen forbliver flydende. En række nylige rapporter har hjulpet med at sætte omfanget af problemet ind i kontekst, og den store indvirkning ransomware har haft på sundhedssektoren er ingen overraskelse. Der er flere bemærkelsesværdige takeaways fra disse data, herunder potentielt opmuntrende nyheder, der tyder på, at ransomware-angreb bliver mindre lukrative for gerningsmændene. Vores analysesektion vil dog undersøge, hvorfor det muligvis ikke signalerer en fordel for sundhedssektoren.
Opsummere
Først, lad os hurtigt opsummere, hvor tingene står. Udfordringerne for sundhedssektoren har været enorme i det seneste år, og cyberkriminelle gjorde bestemt ikke håndteringen af COVID-19 nemmere. VMware Carbon Black rapporterede 239.4 millioner forsøg på cyberangreb mod sine egne sundhedsklienter alene i 2020, hvilket kulminerede i den næsten utrolige statistik, at "sundhedsenheder oplevede 816 angreb pr. endepunkt sidste år, en utrolig stigning på 9,851 procent fra 2019."[1] Disse oplysninger kommer kun få uger efter, at cybersikkerhedsfirmaet Emsisoft rapporterede, at mindst 560 sundhedsudbydere blev ramt af ransomware i 2020.[2]
Det er nedslående, at den mest udbredte ransomware, der rammer sundhedssektoren, ser ud til at have været Cerber. Udbredt i 2017 var Cerber faldet betydeligt i 2018, før den tog fart igen sidste år og stod for 58 % af ransomware-angreb mod VMware Carbon Blacks kunder i sundhedssektoren.[3] Mens Carbon Black bemærkede, at Cerber havde gennemgået opdateringer og tilpasninger, er nogle af varianternes succeser i 2020 næsten helt sikkert forbundet med uoprettede sårbarheder, hvilket igen fremhæver en ekstra vanskelighed med cybersikkerhed i sundhedssektoren.[4]
Et positivt tegn med farligt potentiale
Slutter med potentielt gode nyheder, ransomware-svar og gendannelsesfirmaet Coveware udgav deres Kvartalsvis Ransomware-rapport for Q4 af 2020 sidste mandag. Den mest markante takeaway ser ud til at være deres rapportering om, at ransomware-betalinger er faldet markant. I deres tal faldt den gennemsnitlige ransomware-betaling med omkring 34 % fra 3. kvartal 2020, ned til $154,108 fra $233,817.[5] Derudover oplevede den gennemsnitlige ransomware-betaling i 4. kvartal et endnu større fald på omkring 55%, ned til $49,450 fra $110,532.[6]
Forud for denne nyeste rapport havde Coveware tidligere rapporteret konstante stigninger i gennemsnitlige og mediane ransomware-betalinger tilbage til 4. kvartal 2018.[7] Coveware tilskriver det nylige fald delvist udhulingen af tilliden til, at ransomware-aktører, der eksfiltrerer data, faktisk vil slette dem, når de modtager en løsesum. Adskillige eksempler på "slettede" data, der er blevet videresolgt på det sorte marked, eller bliver brugt til at holde en organisation mod løsesum en anden gang, har ændret risikoberegningen for ransomware-ofre.
Mens hele rapporten indeholder meget mere information, fangede et par interessante noter vores opmærksomhed. For det første fortsætter e-mail-phishing sin opadgående stigning som en angrebsvektor, bryder 50 %-mærket og overhaler RDP-kompromiset. For det andet involverede omkring 70 % af ransomware-angrebene i Q4 en trussel om at lække eksfiltrerede data, en stigning på 20 procentpoint i forhold til Q3.[8] Desuden rapporterer Coveware, at ondsindede aktører går så langt som til at "fremstille dataeksfiltrering i tilfælde, hvor det ikke fandt sted." Den mest bekymrende smule information kan dog være Covewares rapporterede stigning i "stigningen i forekomsten af irreversibel datadestruktion i modsætning til kun målrettet ødelæggelse af sikkerhedskopier eller kryptering af kritiske systemer."[9]
Handling & Analyse
**Medlemskab påkrævet**
2. Sundhedsvæsen står over for en ikke-traditionel cyber-trussel
Mens sundhedssektorens cybersikkerheds- og it-teams allerede står over for den skræmmende udfordring at opretholde privatlivets fred og sikkerhed for deres netværk og data i lyset af alle slags traditionelle statslige og ikke-statslige trusler, kan der være en anden utraditionel teknisk udfordring, hvor deres færdigheder kunne være nyttigt.
I hastværket med at få hele lande vaccineret, står sundhedsorganisationer over for den hidtil usete administrative og logistiske opgave at organisere aftaler for patienter, mens de stræber efter det mindst mulige spild af dyrebare vaccinedoser. For at hjælpe med denne indsats har mange organisationer brugt en eller anden form for onlineportal eller planlægger. US Department of Health and Human Services (HHS) har endda udgivet en meddelelse om håndhævelse skøn for Online eller webbaserede planlægningsapplikationer.[10] Desværre er disse planlæggere blevet offer for 'bot'-angreb orkestreret af scalpere.
Ifølge Reuters forbereder amerikanske detailhandlere og apoteker som Walgreens og CVS Health sig til en ny runde af "bot"-angreb fra scalpere, der håber at få fat i COVID-19-vaccineaftaler."[11] Selvom denne form for adfærd er velkendt for alle, der forsøger at købe varer med begrænset mængde, såsom den nyeste teknologiske gadget eller billetter til sportsbegivenheder, kategoriseres begge disse omstændigheder lettere som irriterende. Det samme kan ikke siges, hvis en sådan adfærd begynder at påvirke vaccinationsudrulningen væsentligt.
Ifølge Reuters, "i de seneste uger har folk delt rædselshistorier på sociale medier om forsøg på at sikre sig vaccinationsaftaler fra regeringskilder, hvor nogle har givet bots skylden for nedbrud og stjålne slots." Både Walgreens og CVS har indikeret, at de er opmærksomme på problemet og har indført flere forsvarsforanstaltninger til påvisning og forebyggelse.
Handling & Analyse
**Medlemskab påkrævet**
Kongressen -
tirsdag den 9. februar:
– Ingen relevante høringer
Onsdag den 10. februar:
– Repræsentanternes Hus – Høring af Udvalget om Hjemmesikkerhed: Homeland Cybersecurity: Vurdering af cybertrusler og opbygning af modstandsdygtighed
Torsdag den 11. februar:
– Ingen relevante høringer
internationale Høringer/møder -
– Ingen relevante høringer
EU -
– Ingen relevante høringer
Diverse –
Konferencer, webinarer og topmøder –
Kontakt os: følg @HealthISAC, og e-mail på contact@h-isac.org
[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point
[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020
[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf
[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S
- Relaterede ressourcer og nyheder