Direkt zum Inhalt

Gesundheit-ISAC Hacking Healthcare 6

TLP White: Diese Woche, Hacken des Gesundheitswesens widmet sich der Zusammenfassung und Analyse der jüngsten Entwicklungen im Bereich Ransomware im öffentlichen und privaten Sektor. Wir analysieren nicht nur die Geschehnisse, sondern zitieren auch neue Leitlinien und Empfehlungen und geben unsere Meinung dazu ab, inwiefern diese Entwicklungen bei der Lösung des Ransomware-Problems hilfreich oder nicht hilfreich waren.

Zur Erinnerung: Dies ist die öffentliche Version des Hacking Healthcare-Blogs. Für weitere ausführliche Analysen und Meinungen werden Sie Mitglied von H-ISAC und erhalten Sie die TLP Amber-Version dieses Blogs (verfügbar im Mitgliederportal).

 

Willkommen zurück zu Hacken des Gesundheitswesens.

 

1. Einleitung

Ransomware hat es nicht schwer gehabt, im Rampenlicht zu bleiben, da sich in den letzten Wochen die spektakulärsten Vorfälle häuften. Regierungsbehörden und private Organisationen bemühen sich, die immer schlimmer werdende Situation zu bewältigen, und die Geschwindigkeit, mit der sich die Gesamtsituation entwickelt, kann dazu führen, dass kritische Entwicklungen leicht übersehen werden. Vor diesem Hintergrund widmen wir diese Ausgabe von Hacken des Gesundheitswesens bis hin zur Untersuchung der jüngsten Entwicklungen im Bereich Ransomware, der Bewertung ihrer Auswirkungen auf den privaten Sektor und der Hervorhebung einer Reihe von Empfehlungen, die für H-ISAC-Mitglieder wertvoll sein könnten.

 

Antwort der Regierung

 

Beginnen wir mit der Biden-Regierung. Sie hat Cybersicherheit zu einem vorrangigen Themenbereich gemacht und hat keinen Mangel an kritischen Cybersicherheitsvorfällen festgestellt, auf die sie reagieren muss. Obwohl der Zeitpunkt mit dem Ransomware-Angriff auf Colonial Pipeline zusammenfiel, waren die jüngsten cyberbezogenen Executive Orders der Regierung zu russischer Einmischung, Lieferkettenproblemen und Cybersicherheit in erster Linie als Reaktion auf frühere Vorfälle wie SolarWinds konzipiert und konzentrierten sich weniger direkt auf das Problem der Ransomware. In den letzten Wochen hat die Biden-Regierung jedoch zahlreiche Schritte unternommen, um der unerbittlichen Welle von Ransomware entgegenzuwirken.

 

Justizministerium

 

Das Justizministerium (DOJ) war auf diesem Gebiet besonders aktiv.

 

Ransomware-Taskforce: Wie wir bereits in einer früheren Ausgabe kurz berichtet haben, wurde Ende April ein internes Memo des US-Justizministeriums herausgegeben, in dem die Bildung einer Task Force gegen Ransomware angekündigt wurde. Das Memo erkannte an, dass Ransomware nicht nur eine wachsende wirtschaftliche Bedrohung darstellt, sondern auch eine Bedrohung für die Gesundheit und Sicherheit der amerikanischen Bürger.[1] Berichten zufolge soll dieses Memo zu einem verbesserten Informationsaustausch im gesamten Justizministerium, zur Schaffung einer Strategie, die auf jeden Aspekt des Ransomware-Ökosystems abzielt, und zu einem insgesamt proaktiveren Ansatz führen.[2]

 

Ransomware-Ausweitung: Die oben genannte Strategie und Vorgehensweise wurden Anfang Juni teilweise enthüllt, als berichtet wurde, dass weitere interne Richtlinien des Justizministeriums in Umlauf gekommen seien, die der Untersuchung von Ransomware-Angriffen eine ähnliche Priorität einräumten wie der von Terrorismus.[3] Dieser Schritt erfordert eine zentrale Koordination von Ransomware-Fällen und -Untersuchungen mit der Ransomware-Taskforce in Washington, D.C., um sicherzustellen, dass für die verschiedenen an Ransomware-Vorfällen beteiligten Beteiligten das bestmögliche Verständnis und Lagebild geschaffen werden kann.

 

Lösegeldrückforderung: Als Colonial Pipeline das Lösegeld in Bitcoin bezahlte, gingen viele davon aus, dass die Täter und das Geld so gut wie weg waren. Eine vom FBI geleitete Operation konnte jedoch 2.3 Millionen Dollar in Bitcoin beschlagnahmen, die als Lösegeld gezahlt wurden.[4] Das FBI verfolgte angeblich die Bewegung des Lösegelds in einem öffentlich einsehbaren Bitcoin-Hauptbuch und verschaffte sich dann Zugriff auf das virtuelle Konto, auf dem der Großteil des Geldes landete.[5]

 

US-CYBERCOM

 

Außer dem US-Justizministerium kommt bei der Reaktion auf Ransomware-Bedrohungen auch dem US Cyber ​​Command (CYBERCOM) eine Rolle zu, dessen Aufgabe darin besteht, „die Planung und Operationen im Cyberspace zu leiten, zu synchronisieren und zu koordinieren – um nationale Interessen zu verteidigen und zu fördern – in Zusammenarbeit mit nationalen und internationalen Partnern.[6]

 

Hören: In einer virtuellen Anhörung am vergangenen Freitag lehnte General Nakasone, der sowohl als Chef von CYBERCOM als auch als Direktor der NSA fungiert, die Notwendigkeit neuer Behörden zur Verfolgung cyberkrimineller Gruppen ab.[7] Er erklärte, er glaube, dass er „über alle erforderlichen Befugnisse verfüge, um diese Gegner außerhalb der Vereinigten Staaten auf nachrichtendienstlicher Ebene verfolgen zu können“.[8] Er sprach jedoch speziell über Ransomware und betonte, dass die wahre Herausforderung, die die Biden-Regierung derzeit bewältigt, darin liege, Informationen und Maßnahmen mit verschiedenen öffentlichen und privaten Interessengruppen auszutauschen und zu koordinieren und gleichzeitig zu bestimmen, wer bei den Gesamtbemühungen die Führung übernimmt. [9]

 

DHS

 

Leitfaden – CISA: Steigende Ransomware-Bedrohung für OT-Ressourcen: Die gestiegene Bedeutung von Ransomware hat auch zur Veröffentlichung zusätzlicher Leitlinien durch die Regierung geführt, darunter ein CISA-Merkblatt mit dem Titel, Steigende Ransomware-Bedrohung für operative Technologieanlagen.[10] Das dreiseitige Dokument gibt einen Überblick über die Bedrohung durch Ransomware, insbesondere für OT-Ressourcen, und skizziert anschließend die Maßnahmen, die Unternehmen ergreifen sollten, um sich auf Ransomware vorzubereiten, diese einzudämmen und darauf zu reagieren.

 

Entwicklungen im privaten Sektor

 

In den letzten Wochen gab es auch einige bemerkenswerte Entwicklungen im Bereich Ransomware im privaten Sektor. Leider waren diese Entwicklungen eher negativ als positiv. Aufsehenerregende Ransomware-Angriffe führen weiterhin zu Lösegeldzahlungen in Millionenhöhe, und der US-Kongress hat die Reaktion des privaten Sektors auf Vorfälle äußerst kritisch gesehen.

 

IST Ransomware Task Force (RTF): Die RTF, eine Gruppe von rund 60 Experten aus dem öffentlichen und privaten Sektor, hat einen 81-seitigen Bericht veröffentlicht, der einen detaillierten und umfassenden Rahmen für die Bekämpfung von Ransomware bietet.[11] Dieses Dokument soll Einzelpersonen über die Feinheiten von Ransomware aufklären und gleichzeitig praktische und umsetzbare politische Maßnahmen vermitteln.

 

Das vom Institute for Security and Technology (IST) organisierte RTF umfasst Vertreter großer Technologieunternehmen wie Microsoft und Amazon, Cybersicherheitsorganisationen wie Rapid7, Palo Alto Networks, der Cybersecurity Coalition, der Cyber ​​Threat Alliance und der Global Cyber ​​Alliance sowie Regierungsorganisationen wie das britische National Cyber ​​Security Centre (NCSC) und die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA).

 

 

JBS und CNA: JBS, einer der größten Fleischverarbeiter in den USA, war nach Colonial Pipeline einer der nächsten aufsehenerregenden Ransomware-Vorfälle. Der Angriff hatte weitreichende Auswirkungen, da Berichten zufolge alle JBS-Betriebe in Australien, Kanada und den USA betroffen waren.[12] Letztlich zahlte JBS ein Lösegeld von rund 11 Millionen US-Dollar, um sicherzustellen, dass die Täter keine Firmendaten stahlen.[13]

 

Allerdings verblasst diese Zahlung im Vergleich zu den fast 40 Millionen Dollar, die das Versicherungsunternehmen CNA Financial Corp. Berichten zufolge zahlte, um „nach einem Ransomware-Angriff die Kontrolle über sein Netzwerk zurückzuerlangen“.[14] Während der Angriff offenbar bereits im März stattgefunden hat, wurden Einzelheiten zur Lösegeldzahlung erst Ende Mai öffentlich.

 

Kongress äußert Missbilligung: In einer Kongressanhörung letzte Woche befragten die Abgeordneten den CEO von Colonial Pipeline, Joseph Blunt, wiederholt zu ihrer Reaktion auf den Ransomware-Vorfall. Einige Abgeordnete behaupteten, Colonial Pipeline habe freiwillige Cybersicherheitsprüfungen durch die Transportation Security Administration abgelehnt. Die demokratische Abgeordnete Bonnie Watson Coleman erklärte: „Diese Prüfungen so lange hinauszuzögern, kommt einer Ablehnung gleich, Sir.“[15] Andere kritisierten die Entscheidung der Pipeline, sich nicht sofort an DHS und CISA zu wenden oder deren Hilfe bei den Bergungsarbeiten anzunehmen.[16] Einige Kongressabgeordnete gingen sogar so weit, die Nachhaltigkeit freiwilliger Cybersicherheitsstandards und eines „Hands-off“-Ansatzes gegenüber kritischer Infrastruktur noch in Frage zu stellen.[17]

 

Aktion & Analyse
**Mitgliedschaft erforderlich**

 

 

Kongress -

 

Dienstag, Juni 15th:

– Keine relevanten Anhörungen

 

Mittwoch, Juni 16th:

– Senat – Ausschuss für Heimatschutz und Regierungsangelegenheiten: Geschäftssitzung zur Prüfung der Nominierungen von Jen Easterly zur Direktorin der Cybersecurity and Infrastructure Security Agency des Heimatschutzministeriums und von Chris Inglis zum Nationalen Cyberdirektor.

 

-Repräsentantenhaus – Ausschuss für Innere Sicherheit: Cyber-Bedrohungen in der Pipeline: Lehren aus der Reaktion der Bundesregierung auf den Colonial Pipeline-Ransomware-Angriff

 

Donnerstag, Juni 17th:

– Keine relevanten Anhörungen

 

Internationale Anhörungen/Sitzungen -

– Keine relevanten Treffen

 

EU -

 

 

 

Konferenzen, Webinare und Gipfeltreffen –

 

 

https://h-isac.org/events/

 

Kontaktieren Sie uns: Folgen Sie @HealthISAC und senden Sie eine E-Mail an contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Verwandte Ressourcen und Neuigkeiten