Μετάβαση στο κύριο περιεχόμενο

Health-ISAC Hacking Healthcare 6-15-2021

TLP White: Αυτή την εβδομάδα, Hacking Healthcare αφιερώνεται στη συγκέντρωση και ανάλυση του ανεμοστρόβιλου των πρόσφατων εξελίξεων ransomware τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα. Εκτός από την ανάλυση του τι έχει συμβεί, παραθέτουμε νέες οδηγίες και συστάσεις και παρέχουμε τις σκέψεις μας σχετικά με το πώς αυτές οι εξελίξεις ήταν χρήσιμες ή μη στην αντιμετώπιση του ζητήματος του ransomware.

Υπενθυμίζουμε ότι αυτή είναι η δημόσια έκδοση του ιστολογίου Hacking Healthcare. Για πρόσθετη σε βάθος ανάλυση και γνώμη, γίνετε μέλος του H-ISAC και λάβετε την έκδοση TLP Amber αυτού του ιστολογίου (διαθέσιμη στην Πύλη Μελών.)

 

Καλώς ήλθατε πίσω στο Hacking Healthcare.

 

1. Εισαγωγή

Το Ransomware δεν δυσκολεύτηκε να διατηρήσει τα φώτα της δημοσιότητας, καθώς τα περιστατικά υψηλού προφίλ συνέχισαν να αυξάνονται τις τελευταίες εβδομάδες. Οι κυβερνητικές αρχές και οι οργανισμοί του ιδιωτικού τομέα προσπαθούν να αντιμετωπίσουν την ολοένα και πιο δεινή κατάσταση και η ταχύτητα με την οποία εξελίσσεται η συνολική κατάσταση μπορεί να διευκολύνει την παραβίαση κρίσιμων εξελίξεων. Με αυτό κατά νου, αφιερώσαμε αυτήν την έκδοση του Hacking Healthcare για την εξέταση πρόσφατων εξελίξεων ransomware, την αξιολόγηση των επιπτώσεών τους στον ιδιωτικό τομέα και την επισήμανση ορισμένων συστάσεων που μπορεί να θεωρήσουν πολύτιμες τα μέλη της H-ISAC.

 

Κυβερνητική απάντηση

 

Ξεκινάμε με την κυβέρνηση Μπάιντεν. Η διοίκηση έχει καταστήσει την ασφάλεια στον κυβερνοχώρο θέμα προτεραιότητας και δεν έχει βρει έλλειψη κρίσιμων περιστατικών ασφάλειας στον κυβερνοχώρο για να ανταποκριθεί. Παρά το χρονοδιάγραμμα που συμπίπτει με την επίθεση ransomware Colonial Pipeline, οι πρόσφατες εκτελεστικές εντολές της διοίκησης που σχετίζονται με τον κυβερνοχώρο σχετικά με τη ρωσική παρέμβαση, τις προκλήσεις της εφοδιαστικής αλυσίδας και την ασφάλεια στον κυβερνοχώρο προσαρμόστηκαν κυρίως ως απάντηση σε προηγούμενα περιστατικά όπως το SolarWinds και ήταν λιγότερο επικεντρωμένες στο ζήτημα του ransomware . Ωστόσο, τις τελευταίες εβδομάδες η κυβέρνηση Μπάιντεν έχει κάνει πολλά βήματα για την αντιμετώπιση του αδυσώπητου κύματος ransomware.

 

Υπουργείο Δικαιοσύνης

 

Το Υπουργείο Δικαιοσύνης (DOJ) έχει δραστηριοποιηθεί ιδιαίτερα σε αυτόν τον τομέα.

 

Ομάδα δράσης Ransomware: Όπως καλύψαμε εν συντομία σε μια προηγούμενη έκδοση, ένα εσωτερικό σημείωμα του DOJ εκδόθηκε στα τέλη Απριλίου που ανήγγειλε τη σύσταση μιας ομάδας εργασίας ransomware. Το σημείωμα αναγνώριζε ότι το ransomware δεν ήταν μόνο μια αυξανόμενη οικονομική απειλή, αλλά και μια απειλή για την υγεία και την ασφάλεια των Αμερικανών πολιτών.[1] Έχει αναφερθεί ότι αυτό το σημείωμα θα οδηγήσει σε βελτιωμένη κοινή χρήση πληροφοριών σε όλο το DOJ, στη δημιουργία μιας στρατηγικής που στοχεύει κάθε πτυχή του οικοσυστήματος ransomware και σε μια πιο προληπτική προσέγγιση συνολικά.[2]

 

Ransomware Elevation: Η προαναφερθείσα στρατηγική και προσέγγιση αποκαλύφθηκε εν μέρει στις αρχές Ιουνίου, όταν αναφέρθηκε ότι κυκλοφόρησε περαιτέρω εσωτερική καθοδήγηση του DOJ που έδινε στις έρευνες για επιθέσεις ransomware παρόμοια προτεραιότητα με την τρομοκρατία.[3] Η κίνηση απαιτεί υποθέσεις και έρευνες ransomware να συντονίζονται κεντρικά με την ομάδα εργασίας ransomware στην Ουάσιγκτον, DC, προκειμένου να διασφαλιστεί ότι μπορεί να δημιουργηθεί η καλύτερη δυνατή κατανόηση και λειτουργική εικόνα για τα διάφορα ενδιαφερόμενα μέρη που εμπλέκονται σε περιστατικά ransomware.

 

Ανάκτηση λύτρων: Όταν η Colonial Pipeline πλήρωσε τη ζήτηση λύτρων σε Bitcoin, πολλοί υπέθεσαν ότι οι δράστες και τα χρήματα ήταν τόσο καλά όσο είχαν χαθεί. Ωστόσο, μια επιχείρηση υπό την ηγεσία του FBI κατάφερε να κατασχέσει 2.3 εκατομμύρια δολάρια σε Bitcoin που καταβλήθηκαν ως λύτρα.[4] Το FBI φέρεται να παρακολούθησε την κίνηση των κεφαλαίων λύτρων σε ένα δημόσια ορατό βιβλίο Bitcoin και στη συνέχεια απέκτησε πρόσβαση στον εικονικό λογαριασμό όπου κατέληγε το μεγαλύτερο μέρος του.[5]

 

US CYBERCOM

 

Εκτός του Υπουργείου Δικαιοσύνης, η Διοίκηση Κυβερνοχώρου των ΗΠΑ (CYBERCOM), αποστολή της οποίας είναι να «κατευθύνει, συγχρονίζει και συντονίζει τον προγραμματισμό και τις επιχειρήσεις του κυβερνοχώρου - για την υπεράσπιση και την προώθηση των εθνικών συμφερόντων - σε συνεργασία με εγχώριους και διεθνείς εταίρους», έχει επίσης να παίξει ανταπόκριση σε απειλές ransomware.[6]

 

Ακρόαση: Σε μια εικονική ακρόαση την περασμένη Παρασκευή, ο στρατηγός Nakasone, διπλά απεχθής τόσο ως επικεφαλής της CYBERCOM όσο και ως διευθυντής της NSA, αρνήθηκε να χρειαστεί νέες αρχές για να κυνηγήσουν ομάδες κυβερνοεγκληματιών.[7] Δήλωσε ότι πιστεύει ότι έχει «όλες τις εξουσίες που χρειάζομαι για να μπορέσω να διώξω από άποψη πληροφοριών εναντίον αυτών των αντιπάλων εκτός των Ηνωμένων Πολιτειών».[8] Ωστόσο, μιλώντας συγκεκριμένα για το ransomware, ανέφερε ότι η πραγματική πρόκληση, και αυτή που αντιμετωπίζει η κυβέρνηση Μπάιντεν, είναι πώς να μοιράζεται και να συντονίζει πληροφορίες και δράση με διάφορους δημόσιους και ιδιωτικούς φορείς, ενώ ταυτόχρονα καθορίζει ποιος αναλαμβάνει την ηγεσία σε γενικές γραμμές. προσπάθειες. [9]

 

DHS

 

Καθοδήγηση – CISA: Αυξανόμενη απειλή Ransomware για περιουσιακά στοιχεία OT: Η αυξημένη σημασία του ransomware οδήγησε επίσης στη δημοσίευση πρόσθετων οδηγιών από την κυβέρνηση, συμπεριλαμβανομένου ενός ενημερωτικού δελτίου της CISA με τίτλο, Αυξανόμενη απειλή ransomware για περιουσιακά στοιχεία λειτουργικής τεχνολογίας.[10] Το έγγραφο τριών σελίδων παρέχει μια επισκόπηση της απειλής ransomware, ειδικά σε περιουσιακά στοιχεία OT, και στη συνέχεια περιγράφει τις ενέργειες που πρέπει να λάβουν οι οργανισμοί για να προετοιμαστούν, να μετριάσουν και να ανταποκριθούν σε ransomware.

 

Εξελίξεις στον Ιδιωτικό Τομέα

 

Υπήρξαν επίσης μερικές αξιοσημείωτες εξελίξεις ransomware που σχετίζονται με τον ιδιωτικό τομέα τις τελευταίες εβδομάδες. Δυστυχώς, αυτές οι εξελίξεις τείνουν να είναι περισσότερο αρνητικές παρά θετικές. Οι υψηλού προφίλ επιθέσεις ransomware συνεχίζουν να καταλήγουν σε πληρωμές λύτρων πολλών εκατομμυρίων δολαρίων και το Κογκρέσο των ΗΠΑ ασκεί έντονη κριτική για τον τρόπο με τον οποίο ο ιδιωτικός τομέας ανταποκρίνεται στα περιστατικά.

 

IST Ransomware Task Force (RTF): Η RTF, μια ομάδα ~60 ειδικών τόσο από τον δημόσιο όσο και από τον ιδιωτικό τομέα, δημοσίευσε μια έκθεση 81 σελίδων που παρέχει ένα λεπτομερές και εμπεριστατωμένο πλαίσιο για την καταπολέμηση του ransomware.[11] Αυτό το έγγραφο θα πρέπει να βοηθήσει στην εκπαίδευση των ατόμων σχετικά με τις αποχρώσεις του ransomware, παρέχοντας παράλληλα πρακτικές και εφαρμόσιμες πολιτικές ενέργειες.

 

Συγκεντρωμένο από το Ινστιτούτο Ασφάλειας και Τεχνολογίας (IST), το RTF περιλαμβάνει εκπροσώπηση από μεγάλες εταιρείες τεχνολογίας όπως η Microsoft και η Amazon. Οργανισμοί κυβερνοασφάλειας όπως η Rapid7, η Palo Alto Networks, η Cybersecurity Coalition, η Cyber ​​Threat Alliance και η Global Cyber ​​Alliance. και κυβερνητικούς οργανισμούς όπως το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) και η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA).

 

 

JBS & CNA: Η JBS, μία από τις μεγαλύτερες εταιρείες επεξεργασίας κρέατος στις Ηνωμένες Πολιτείες, έγινε πρόσφατα ένα από τα επόμενα περιστατικά υψηλού προφίλ ransomware μετά το Colonial Pipeline. Η επίθεση είχε εκτεταμένες επιπτώσεις, καθώς φέρεται να επηρεάστηκαν όλες οι επιχειρήσεις της JBS στην Αυστραλία, τον Καναδά και τις ΗΠΑ.[12] Τελικά η JBS πλήρωσε λύτρα περίπου 11 εκατομμυρίων δολαρίων με σκοπό να διασφαλίσει ότι οι δράστες δεν έκλεψαν δεδομένα της εταιρείας.[13]

 

Ωστόσο, αυτή η πληρωμή ωχριά σε σύγκριση με τα σχεδόν 40 εκατομμύρια δολάρια που φέρεται να κατέβαλε ο ασφαλιστικός οργανισμός CNA Financial Corp. για να «ανακτήσει τον έλεγχο του δικτύου του μετά από μια επίθεση ransomware».[14] Ενώ αυτή η επίθεση φαίνεται να συνέβη τον Μάρτιο, οι λεπτομέρειες της πληρωμής λύτρων έγιναν γνωστές μόλις στα τέλη Μαΐου.

 

Το Κογκρέσο εκφράζει την αποδοκιμασία: Σε μια ακρόαση στο Κογκρέσο την περασμένη εβδομάδα, νομοθέτες είχαν επανειλημμένα δεσμευτεί με τον διευθύνοντα σύμβουλο της Colonial Pipeline, Joseph Blunt, στον τρόπο με τον οποίο απάντησαν στο περιστατικό ransomware. Ορισμένοι νομοθέτες υποστήριξαν ότι οι εθελοντικές αναθεωρήσεις κυβερνοασφάλειας της Διοίκησης Ασφάλειας Μεταφορών απορρίφθηκαν από την Colonial Pipeline, με την αντιπρόσωπο Bonnie Watson Coleman (D) να δηλώνει: «Η καθυστέρηση αυτών των αξιολογήσεων για τόσο μεγάλο χρονικό διάστημα ισοδυναμεί με την απόρριψή τους, κύριε».[15] Άλλοι αμφισβήτησαν την απόφαση του αγωγού να μην επικοινωνήσει αμέσως με το DHS και την CISA ή να αποδεχτεί τη βοήθειά τους στις επιχειρήσεις ανάκτησης.[16] Μερικά μέλη του Κογκρέσου έφτασαν στο σημείο να αμφισβητήσουν εάν τα εθελοντικά πρότυπα κυβερνοασφάλειας και μια προσέγγιση «χειρών» σε κρίσιμες υποδομές εξακολουθούν να είναι βιώσιμα.[17]

 

Δράση & Ανάλυση
**Απαιτείται συνδρομή**

 

 

Συνέδριο -

 

Τρίτη, Ιούνιος 15:

– Καμία σχετική ακρόαση

 

Τετάρτη, Ιούνιος 16:

– Γερουσία – Επιτροπή Εσωτερικής Ασφάλειας και Κυβερνητικών Υποθέσεων: Επιχειρηματική συνάντηση για να εξεταστούν οι υποψηφιότητες της Jen Easterly, ως Διευθύντρια της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών, Τμήμα Εσωτερικής Ασφάλειας, και του Chris Inglis, ως National Cyber ​​Director.

 

-Βουλή των Αντιπροσώπων – Επιτροπή Εσωτερικής Ασφάλειας: Κυβερνοαπειλές σε εξέλιξη: Μαθήματα από την Ομοσπονδιακή Απόκριση στην Επίθεση Ransomware του Αποικιακού αγωγού

 

Πέμπτη 17 Ιουνίου:

– Καμία σχετική ακρόαση

 

International Ακροάσεις/Συναντήσεις -

– Όχι σχετικές συναντήσεις

 

ΕΕ -

 

 

 

Συνέδρια, διαδικτυακά σεμινάρια και συνόδους κορυφής –

 

 

https://h-isac.org/events/

 

Επικοινωνήστε μαζί μας: ακολουθήστε το @HealthISAC και στείλτε email στο contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Σχετικοί πόροι και νέα