H-ISAC Hacking im Gesundheitswesen 2-9-2021
TLP White: Diese Woche, Hacken des Gesundheitswesens beginnt mit einem weiteren Blick auf Ransomware. Insbesondere analysieren wir Trends, die sich im Laufe des vergangenen Jahres herauskristallisiert haben, Daten aus dem letzten Quartal 2020 und was sie uns über die zukünftige Entwicklung sagen und warum Ransomware, die für Cyberkriminelle immer weniger lukrativ wird, dem Gesundheitssektor tatsächlich schaden kann. Wir schließen mit der Analyse einer nicht-traditionellen Cyber-„Bedrohung“, die das Potenzial hat, die Einführung von Impfungen zu gefährden, und warum Lösungen möglicherweise nicht so leicht zu finden sind.
Zur Erinnerung: Dies ist die öffentliche Version des Hacking Healthcare-Blogs. Für weitere ausführliche Analysen und Meinungen werden Sie Mitglied von H-ISAC und erhalten Sie die TLP Amber-Version dieses Blogs (verfügbar im Mitgliederportal).
Willkommen zurück zu Hacken des Gesundheitswesens.
1. Ransomware-Überprüfung 2020
Es scheint sicher, dass Ransomware auch 2021 eine Plage bleiben wird, aber einige neu veröffentlichte Informationen deuten darauf hin, dass sich die Situation durch sich entwickelnde Methoden und Taktiken weiter verändern wird. Eine Reihe aktueller Berichte hat dazu beigetragen, das Ausmaß des Problems in den Kontext zu setzen, und die enormen Auswirkungen von Ransomware auf den Gesundheitssektor sind keine Überraschung. Aus diesen Daten lassen sich mehrere bemerkenswerte Erkenntnisse gewinnen, darunter potenziell ermutigende Nachrichten, die darauf hindeuten, dass Ransomware-Angriffe für Täter weniger lukrativ werden. Unser Analyseabschnitt wird jedoch untersuchen, warum dies möglicherweise kein Vorteil für den Gesundheitssektor ist.
Rekapitulieren
Lassen Sie uns zunächst kurz zusammenfassen, wie die Dinge stehen. Die Herausforderungen, vor denen der Gesundheitssektor im vergangenen Jahr stand, waren enorm, und Cyberkriminelle haben den Umgang mit COVID-19 sicherlich nicht einfacher gemacht. VMware Carbon Black meldete im Jahr 239.4 allein 2020 Millionen versuchte Cyberangriffe auf seine eigenen Kunden im Gesundheitswesen, was in der fast unglaublichen Statistik gipfelt, dass „Gesundheitseinrichtungen im vergangenen Jahr 816 Angriffe pro Endpunkt verzeichneten, eine unglaubliche Steigerung von 9,851 Prozent gegenüber 2019.“[1]. Diese Information kommt nur wenige Wochen, nachdem das Cybersicherheitsunternehmen Emsisoft gemeldet hatte, dass im Jahr 560 mindestens 2020 Einrichtungen des Gesundheitswesens von Ransomware betroffen waren.[2].
Enttäuschenderweise scheint Cerber die am weitesten verbreitete Ransomware im Gesundheitssektor zu sein. Cerber war 2017 noch weit verbreitet, 2018 nahm seine Verbreitung jedoch deutlich ab, bevor es im letzten Jahr wieder an Fahrt aufnahm und 58 % der Ransomware-Angriffe auf Kunden von VMware Carbon Black im Gesundheitssektor ausmachte.[3]. Carbon Black wies zwar darauf hin, dass Cerber aktualisiert und angepasst wurde, doch einige der Erfolge der Varianten im Jahr 2020 sind mit ziemlicher Sicherheit auf nicht behobene Schwachstellen zurückzuführen, was erneut auf eine zusätzliche Schwierigkeit der Cybersicherheit im Gesundheitssektor hinweist.[4].
Ein positives Zeichen mit gefährlichem Potenzial
Zum Abschluss noch eine potenziell gute Nachricht: Das Ransomware-Reaktions- und Wiederherstellungsunternehmen Coveware veröffentlichte seine Vierteljährlicher Ransomware-Bericht für das vierte Quartal 4 am vergangenen Montag. Die wichtigste Erkenntnis scheint ihre Meldung zu sein, dass die Lösegeldzahlungen deutlich zurückgegangen sind. Ihren Zahlen zufolge sank die durchschnittliche Lösegeldzahlung im Vergleich zum dritten Quartal 2020 um etwa 34 % von 3 USD auf 2020 USD.[5]. Darüber hinaus gab es bei der durchschnittlichen Lösegeldzahlung im vierten Quartal einen noch größeren Rückgang, nämlich um etwa 4 %, von 55 US-Dollar auf 49,450 US-Dollar.[6].
Vor diesem neuesten Bericht hatte Coveware bereits seit dem vierten Quartal 4 einen stetigen Anstieg der durchschnittlichen und mittleren Ransomware-Zahlungen gemeldet.[7]. Coveware führt den jüngsten Rückgang teilweise auf den Vertrauensverlust zurück, dass Ransomware-Akteure, die Daten exfiltrieren, diese nach Erhalt eines Lösegelds tatsächlich löschen. Zahlreiche Beispiele dafür, dass „gelöschte“ Daten auf dem Schwarzmarkt weiterverkauft oder verwendet wurden, um ein Unternehmen ein zweites Mal zu erpressen, haben die Risikokalkulation für Ransomware-Opfer verändert.
Obwohl der vollständige Bericht viel mehr Informationen enthält, sind uns einige interessante Anmerkungen aufgefallen. Erstens ist E-Mail-Phishing als Angriffsvektor weiterhin im Aufwind, hat die 50-Prozent-Marke überschritten und RDP-Betrug überholt. Zweitens beinhalteten rund 70 Prozent der Ransomware-Angriffe im vierten Quartal die Drohung, exfiltrierte Daten zu verlieren, was einem Anstieg von 4 Prozentpunkten gegenüber dem dritten Quartal entspricht.[8]. Darüber hinaus berichtet Coveware, dass böswillige Akteure so weit gehen, „Datenexfiltrationen vorzutäuschen, obwohl sie gar nicht stattgefunden haben“. Die beunruhigendste Information dürfte jedoch der von Coveware gemeldete Anstieg „der Fälle irreversibler Datenzerstörung im Gegensatz zur gezielten Zerstörung von Backups oder der Verschlüsselung kritischer Systeme“ sein.[9].
Aktion & Analyse
**Mitgliedschaft erforderlich**
2. Das Gesundheitswesen ist einer nicht-traditionellen Cyber-„Bedrohung“ ausgesetzt
Während die Cybersicherheits- und IT-Teams im Gesundheitssektor bereits vor der gewaltigen Herausforderung stehen, die Privatsphäre und Sicherheit ihrer Netzwerke und Daten angesichts aller Arten traditioneller staatlicher und nichtstaatlicher Bedrohungen zu wahren, gibt es möglicherweise eine weitere nicht-traditionelle technische Herausforderung, bei der ihre Fähigkeiten nützlich sein könnten.
In der Eile, ganze Länder zu impfen, stehen Gesundheitsorganisationen vor der beispiellosen administrativen und logistischen Aufgabe, Termine für Patienten zu organisieren und gleichzeitig die Verschwendung wertvoller Impfstoffdosen so gering wie möglich zu halten. Um diese Bemühungen zu unterstützen, haben viele Organisationen eine Art Online-Portal oder Terminplaner verwendet. Das US-Gesundheitsministerium (HHS) hat sogar eine Mitteilung über Ermessensspielraum bei der Durchsetzung herausgegeben für Online- oder webbasierte Planungsanwendungen.[10]. Leider sind diese Scheduler Opfer von „Bot“-Angriffen geworden, die von Scalpern orchestriert wurden.
Laut Reuters „bereiten sich US-Einzelhändler und Apotheken wie Walgreens und CVS Health auf eine neue Runde von Bot-Angriffen durch Schwarzhändler vor, die sich Termine für die COVID-19-Impfung sichern wollen.“[11]. Dieses Verhalten ist jedem bekannt, der versucht, Artikel mit begrenzter Stückzahl zu kaufen, wie das neueste technische Gerät oder Eintrittskarten für eine Sportveranstaltung, aber beide Umstände lassen sich eher als Ärgernis bezeichnen. Das Gleiche kann man nicht sagen, wenn ein solches Verhalten beginnt, die Einführung von Impfungen erheblich zu beeinträchtigen.
Laut Reuters „teilten Menschen in den letzten Wochen in sozialen Netzwerken Horrorgeschichten über Versuche, Impftermine über staatliche Stellen zu bekommen, wobei einige Bots für Site-Abstürze und gestohlene Termine verantwortlich machten.“ Sowohl Walgreens als auch CVS haben angedeutet, dass sie sich des Problems bewusst sind und zahlreiche Abwehrmaßnahmen zur Erkennung und Prävention eingerichtet haben.
Aktion & Analyse
**Mitgliedschaft erforderlich**
Kongress -
Dienstag, Februar 9th:
– Keine relevanten Anhörungen
Mittwoch, Februar 10th:
– Repräsentantenhaus – Anhörung des Ausschusses für Innere Sicherheit: Cybersicherheit im Heimatland: Bewertung von Cyberbedrohungen und Aufbau von Widerstandsfähigkeit
Donnerstag, 11. Februar:
– Keine relevanten Anhörungen
Internationale Anhörungen/Sitzungen -
– Keine relevanten Anhörungen
EU -
– Keine relevanten Anhörungen
Verschiedenes –
Konferenzen, Webinare und Gipfeltreffen –
Kontaktieren Sie uns: Folgen Sie @HealthISAC und senden Sie eine E-Mail an contact@h-isac.org
[1]. https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point
[2]. https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020
[3]. https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[4]. https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[5]. https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[6]. https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[7]. https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[8]. https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[9]. https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[10]. https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf
[11]. https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S
- Verwandte Ressourcen und Neuigkeiten