Gå til hovedindhold

Health-ISAC Hacking Healthcare 6-15-2021

TLP White: Denne uge, Hacking Healthcare er dedikeret til at samle og analysere hvirvelvinden af ​​de seneste ransomware-udviklinger i både den offentlige og private sektor. Ud over at nedbryde, hvad der er sket, citerer vi ny vejledning og anbefalinger og giver vores tanker om, hvordan disse udviklinger har været nyttige eller uhensigtsmæssige til at løse problemet med ransomware.

Som en påmindelse er dette den offentlige version af Hacking Healthcare-bloggen. For yderligere dybdegående analyse og mening, bliv medlem af H-ISAC og modtag TLP Amber-versionen af ​​denne blog (tilgængelig i medlemsportalen.)

 

Velkommen tilbage til Hacking Healthcare.

 

1. Introduktion

Ransomware har ikke haft problemer med at fastholde rampelyset, da højprofilerede hændelser er blevet ved med at stige i løbet af de sidste par uger. Regeringsmyndigheder og organisationer i den private sektor kæmper for at håndtere den stadig mere alvorlige situation, og den hastighed, hvormed den overordnede situation udvikler sig, kan gøre det let at gå glip af kritiske udviklinger. Med dette i tankerne har vi dedikeret denne udgave af Hacking Healthcare at undersøge de seneste ransomware-udviklinger, vurdere deres indvirkning på den private sektor og fremhæve en række anbefalinger, som H-ISAC-medlemmer kan finde værdifulde.

 

Regeringens svar

 

Vi starter med Biden-administrationen. Administrationen har gjort cybersikkerhed til et prioriteret problemområde og har ikke fundet mangel på kritiske cybersikkerhedshændelser at reagere på. På trods af timingen, der faldt sammen med Colonial Pipeline ransomware-angrebet, blev administrationens seneste cyberrelaterede ordrer om russisk indblanding, forsyningskædeudfordringer og cybersikkerhed skræddersyet primært som et svar på tidligere hændelser som SolarWinds og var mindre fokuseret på spørgsmålet om løsepenge. . I de seneste par uger har Biden-administrationen dog taget adskillige skridt for at imødegå den utrættelige bølge af ransomware.

 

Justitsministeriet

 

Justitsministeriet (DOJ) har været særligt aktiv på dette område.

 

Ransomware taskforce: Som vi kort omtalte i en tidligere udgave, blev der udsendt et internt DOJ-memo i slutningen af ​​april, der annoncerede dannelsen af ​​en ransomware-taskforce. Memoet anerkendte, at ransomware ikke kun var en voksende økonomisk trussel, men også en trussel mod amerikanske borgeres sundhed og sikkerhed.[1] Det er blevet rapporteret, at dette notat vil føre til forbedret intelligensdeling på tværs af DOJ, skabelsen af ​​en strategi, der retter sig mod alle aspekter af ransomware-økosystemet, og en mere proaktiv tilgang generelt.[2]

 

Ransomware Elevation: Den førnævnte strategi og tilgang blev delvist afsløret i begyndelsen af ​​juni, da det blev rapporteret, at yderligere intern DOJ-vejledning blev cirkuleret, der gav undersøgelser af ransomware-angreb en lignende prioritet som terrorisme.[3] Flytningen kræver, at ransomware-sager og -undersøgelser koordineres centralt med ransomware-taskforcen i Washington, DC for at sikre, at den bedst mulige forståelse og operationelle billede kan skabes for de forskellige interessenter, der er involveret i ransomware-hændelser.

 

Inddrivelse af løsesum: Da Colonial Pipeline betalte løsesumskravet i Bitcoin, antog mange, at gerningsmændene og pengene var så godt som væk. En FBI-ledet operation var dog i stand til at beslaglægge 2.3 millioner dollars i Bitcoin udbetalt i løsesum.[4] FBI sporede angiveligt bevægelsen af ​​løsesumsmidlerne på en offentligt synlig Bitcoin hovedbog og fik derefter adgang til den virtuelle konto, hvor det meste af det endte.[5]

 

US CYBERCOM

 

Uden for DOJ har US Cyber ​​Command (CYBERCOM), hvis mission er at "dirigere, synkronisere og koordinere cyberspace-planlægning og -operationer - for at forsvare og fremme nationale interesser - i samarbejde med indenlandske og internationale partnere", også en rolle at spille i reagere på ransomware-trusler.[6]

 

Høring: I en virtuel høring i fredags afviste general Nakasone, der var dobbelthattet som både leder af CYBERCOM og direktør for NSA, at skulle have nye myndigheder til at gå efter cyberkriminelle grupper.[7] Han udtalte, at han mener, at han har "alle de myndigheder, jeg har brug for, for at kunne retsforfølge efterretningsmæssigt mod disse modstandere uden for USA."[8] Specifikt med hensyn til ransomware fortalte han imidlertid, at den virkelige udfordring, og den som Biden-administrationen arbejder igennem, er, hvordan man deler og koordinerer efterretninger og handling med forskellige offentlige og private interessenter, mens han også bestemmer, hvem der overordnet tager føringen. indsats. [9]

 

DHS

 

Vejledning – CISA: Rising Ransomware Threat to OT Assets: Den øgede betydning af ransomware har også ført til offentliggørelsen af ​​yderligere vejledning fra regeringen, herunder et CISA-faktaark med titlen, Stigende Ransomware-trussel mod operationelle teknologiaktiver.[10] Det tre sider lange dokument giver et overblik over ransomware-truslen, specifikt mod OT-aktiver, og skitserer derefter handlinger, organisationer bør tage for at forberede sig på, afbøde og reagere på ransomware.

 

Udviklingen i den private sektor

 

Der har også været et par bemærkelsesværdige ransomware-udviklinger vedrørende den private sektor i de seneste uger. Desværre har denne udvikling haft en tendens til at være mere negativ end positiv. Højprofilerede ransomware-angreb resulterer fortsat i løsepengebetalinger på flere millioner dollar, og den amerikanske kongres har været meget kritisk over for, hvordan den private sektor har reageret på hændelser.

 

IST Ransomware Task Force (RTF): RTF, en gruppe på ~60 eksperter fra både den offentlige og private sektor, udgav en 81-siders rapport, der giver en detaljeret og grundig ramme for bekæmpelse af ransomware.[11] Dette dokument skal hjælpe med at uddanne enkeltpersoner om nuancerne af ransomware og samtidig give praktiske og handlingsrettede politiske handlinger.

 

Samlet af Institut for Sikkerhed og Teknologi (IST), omfatter RTF repræsentation fra store teknologifirmaer som Microsoft og Amazon; cybersikkerhedsorganisationer som Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber ​​Threat Alliance og Global Cyber ​​Alliance; og statslige organisationer som UK National Cyber ​​Security Center (NCSC) og US Cybersecurity and Infrastructure Security Agency (CISA).

 

 

JBS & CNA: JBS, en af ​​de største kødforarbejdere i USA, blev for nylig en af ​​de næste højprofilerede ransomware-hændelser efter Colonial Pipeline. Angrebet havde omfattende konsekvenser, da JBS-operationer i Australien, Canada og USA alle angiveligt var berørt.[12] I sidste ende betalte JBS en løsesum på omkring 11 millioner dollars med det formål at sikre, at gerningsmændene ikke stjal firmadata.[13]

 

Den betaling blegner dog i forhold til de næsten 40 millioner dollars, som forsikringsorganisationen CNA Financial Corp. angiveligt udbetalte for at "genvinde kontrollen over sit netværk efter et ransomware-angreb."[14] Selvom angrebet ser ud til at have fundet sted i marts, blev detaljerne om løsesummen først offentliggjort i slutningen af ​​maj.

 

Kongressens afvisning: I en kongreshøring i sidste uge, talte lovgivere gentagne gange med Colonial Pipeline CEO Joseph Blunt om den måde, de reagerede på deres ransomware-hændelse. Nogle lovgivere hævdede, at frivillige cybersikkerhedsvurderinger fra Transportation Security Administration blev afvist af Colonial Pipeline, og rep. Bonnie Watson Coleman (D) sagde: "At forsinke disse vurderinger så længe svarer til at afvise dem, sir."[15] Andre anfægtede rørledningens beslutning om ikke straks at kontakte DHS og CISA eller acceptere deres assistance i genopretningsoperationer.[16] Nogle få kongresmedlemmer gik så langt som at stille spørgsmålstegn ved, om frivillige cybersikkerhedsstandarder og en "hands-off" tilgang til kritisk infrastruktur stadig var holdbar.[17]

 

Handling & Analyse
**Medlemskab påkrævet**

 

 

Kongressen -

 

Tirsdag, juni 15th:

– Ingen relevante høringer

 

Onsdag, d. 16. juni :

– Senatet – Udvalg for Hjemlandsk Sikkerhed og Regeringsanliggender: Forretningsmøde for at overveje nomineringerne af Jen Easterly, som direktør for Cybersikkerheds- og Infrastruktursikkerhedsagenturet, Department of Homeland Security, og Chris Inglis, som National Cyber ​​Director.

 

-Repræsentanternes Hus – Udvalget om Hjemlandssikkerhed: Cybertrusler i pipelinen: Erfaringer fra den føderale reaktion på det koloniale pipeline-ransomwareangreb

 

Torsdag den 17. juni:

– Ingen relevante høringer

 

internationale Høringer/møder -

– Ingen relevante møder

 

EU -

 

 

 

Konferencer, webinarer og topmøder –

 

 

https://h-isac.org/events/

 

Kontakt os: følg @HealthISAC, og e-mail på contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Relaterede ressourcer og nyheder