Μετάβαση στο κύριο περιεχόμενο

H-ISAC Hacking Healthcare 2-9-2021

TLP White: Αυτή την εβδομάδα, Hacking Healthcare ξεκινά με μια άλλη ματιά στο ransomware. Συγκεκριμένα, αναλύουμε τις τάσεις που εμφανίστηκαν κατά τη διάρκεια του περασμένου έτους, τα δεδομένα από το τελευταίο τρίμηνο του 2020 και τι μας λέει για το πού πηγαίνουν τα πράγματα και γιατί το ransomware που γίνεται λιγότερο προσοδοφόρο για τους εγκληματίες του κυβερνοχώρου μπορεί να είναι πραγματικά επιβλαβές για τον τομέα της υγειονομικής περίθαλψης. Ολοκληρώνουμε καταρρίπτοντας μια μη παραδοσιακή «απειλή» στον κυβερνοχώρο που έχει τη δυνατότητα να βλάψει την ανάπτυξη εμβολιασμού και γιατί μπορεί να μην είναι τόσο εύκολο να βρεθούν λύσεις.

Υπενθυμίζουμε ότι αυτή είναι η δημόσια έκδοση του ιστολογίου Hacking Healthcare. Για πρόσθετη σε βάθος ανάλυση και γνώμη, γίνετε μέλος του H-ISAC και λάβετε την έκδοση TLP Amber αυτού του ιστολογίου (διαθέσιμη στην Πύλη Μελών.)

 

Καλώς ήλθατε πίσω στο Hacking Healthcare.

 

1. Ανασκόπηση Ransomware 2020

Φαίνεται ασφαλές στοίχημα ότι το ransomware θα συνεχίσει να είναι μάστιγα το 2021, αλλά ορισμένες πρόσφατα δημοσιευμένες πληροφορίες υποδηλώνουν ότι οι εξελισσόμενες μέθοδοι και τακτικές θα βοηθήσουν να διασφαλιστεί ότι η κατάσταση θα παραμείνει ρευστή. Ένας αριθμός πρόσφατων αναφορών βοήθησε να τεθεί η κλίμακα του ζητήματος στο πλαίσιο, και ο τεράστιος αντίκτυπος που είχε το ransomware στον τομέα της υγειονομικής περίθαλψης δεν αποτελεί έκπληξη. Υπάρχουν αρκετά αξιοσημείωτα στοιχεία από αυτά τα δεδομένα, συμπεριλαμβανομένων πιθανώς ενθαρρυντικών ειδήσεων που υποδηλώνουν ότι οι επιθέσεις ransomware γίνονται λιγότερο προσοδοφόρες για τους δράστες. Ωστόσο, η ενότητα ανάλυσής μας θα διερευνήσει γιατί αυτό μπορεί να μην σηματοδοτεί όφελος για τον τομέα της υγειονομικής περίθαλψης.

 

Υπόμνηση

 

Πρώτον, ας ανακεφαλαιώσουμε γρήγορα πού έχουν τα πράγματα. Οι προκλήσεις που αντιμετώπισε ο τομέας της υγειονομικής περίθαλψης ήταν τεράστιες τον περασμένο χρόνο, και οι εγκληματίες του κυβερνοχώρου σίγουρα δεν έκαναν ευκολότερη την αντιμετώπιση του COVID-19. Η VMware Carbon Black ανέφερε 239.4 εκατομμύρια απόπειρες κυβερνοεπιθέσεων μόνο κατά των πελατών της στον τομέα της υγείας το 2020, με αποκορύφωμα το σχεδόν απίστευτο στατιστικό ότι «οι οντότητες υγειονομικής περίθαλψης είδαν 816 επιθέσεις ανά τελικό σημείο πέρυσι, μια απίστευτη αύξηση 9,851 τοις εκατό από το 2019».[1] Αυτές οι πληροφορίες έρχονται μόλις εβδομάδες αφότου η εταιρεία κυβερνοασφάλειας Emsisoft ανέφερε ότι τουλάχιστον 560 εγκαταστάσεις παρόχων υγειονομικής περίθαλψης επλήγησαν από ransomware το 2020.[2]

 

Αποθαρρυντικά, το πιο διαδεδομένο ransomware που πλήττει τον τομέα της υγειονομικής περίθαλψης φαίνεται να ήταν το Cerber. Αχαλίνωτη το 2017, η Cerber είχε πέσει σημαντικά μέχρι το 2018, πριν απογειωθεί για άλλη μια φορά πέρυσι και αντιπροσώπευε το 58% των επιθέσεων ransomware εναντίον πελατών του κλάδου υγειονομικής περίθαλψης της VMware Carbon Black.[3] Ενώ η Carbon Black σημείωσε ότι η Cerber είχε υποστεί ενημερώσεις και προσαρμογές, ορισμένες από τις επιτυχίες των παραλλαγών το 2020 συνδέονται σχεδόν σίγουρα με μη επιδιορθωμένες ευπάθειες, υπογραμμίζοντας για άλλη μια φορά μια πρόσθετη δυσκολία της κυβερνοασφάλειας στον τομέα της υγειονομικής περίθαλψης.[4]

 

Ένα θετικό σημάδι με επικίνδυνες δυνατότητες

 

Τελειώνοντας με δυνητικά καλά νέα, η εταιρεία απόκρισης και ανάκτησης ransomware Coveware κυκλοφόρησε το δικό τους Τριμηνιαία Έκθεση Ransomware για το 4ο τρίμηνο του 2020 την περασμένη Δευτέρα. Το πιο σημαντικό πλεονέκτημα φαίνεται να είναι η αναφορά τους ότι οι πληρωμές ransomware έχουν μειωθεί σημαντικά. Με τους αριθμούς τους, η μέση πληρωμή ransomware μειώθηκε κατά περίπου 34% από το τρίτο τρίμηνο του 3, στα 2020 $ από 154,108 $.[5] Επιπλέον, η μέση πληρωμή ransomware που έγινε το τέταρτο τρίμηνο σημείωσε ακόμη μεγαλύτερη πτώση της τάξης του 4%, στα 55 $ από 49,450 $.[6]

 

Πριν από αυτήν την πιο πρόσφατη αναφορά, η Coveware είχε αναφέρει στο παρελθόν σταθερές αυξήσεις στις μέσες και τις μέσες πληρωμές ransomware από το 4ο τρίμηνο του 2018.[7] Το Coveware αποδίδει την πρόσφατη πτώση εν μέρει στη διάβρωση της εμπιστοσύνης ότι οι φορείς ransomware που εκμεταλλεύονται δεδομένα θα τα διαγράψουν πραγματικά μόλις λάβουν λύτρα. Πολυάριθμα παραδείγματα «διαγραμμένων» δεδομένων που μεταπωλούνται στη μαύρη αγορά ή χρησιμοποιούνται για να κρατήσουν έναν οργανισμό για λύτρα για δεύτερη φορά, έχουν αλλάξει τον υπολογισμό κινδύνου για τα θύματα ransomware.

 

Ενώ η πλήρης έκθεση περιέχει πολύ περισσότερες πληροφορίες, μερικές ενδιαφέρουσες σημειώσεις τράβηξαν την προσοχή μας. Πρώτον, το ηλεκτρονικό ψάρεμα συνεχίζει την ανοδική του άνοδο ως φορέας επίθεσης, σπάζοντας το όριο του 50% και ξεπερνώντας τον συμβιβασμό RDP. Δεύτερον, περίπου το 70% των επιθέσεων ransomware το τέταρτο τρίμηνο περιλάμβανε απειλή για διαρροή δεδομένων διεισδύσεων, μια αύξηση 4 ποσοστιαίων μονάδων σε σχέση με το τρίτο τρίμηνο.[8] Επιπλέον, η Coveware αναφέρει ότι οι κακόβουλοι παράγοντες φτάνουν στο σημείο να «κατασκευάζουν τη διείσδυση δεδομένων σε περιπτώσεις που δεν συνέβη». Ωστόσο, το πιο ανησυχητικό κομμάτι των πληροφοριών μπορεί να είναι η αναφερόμενη αύξηση της Coveware στην «αύξηση της συχνότητας μη αναστρέψιμης καταστροφής δεδομένων σε αντίθεση με την απλή στοχευμένη καταστροφή αντιγράφων ασφαλείας ή κρυπτογράφηση κρίσιμων συστημάτων».[9]

 

Δράση & Ανάλυση

**Απαιτείται συνδρομή**

 

 

2. Η υγειονομική περίθαλψη αντιμετωπίζει μια μη παραδοσιακή «απειλή» στον κυβερνοχώρο

Ενώ οι ομάδες κυβερνοασφάλειας και πληροφορικής του τομέα της υγείας αντιμετωπίζουν ήδη την τρομακτική πρόκληση της διατήρησης του απορρήτου και της ασφάλειας των δικτύων και των δεδομένων τους απέναντι σε κάθε είδους παραδοσιακές κρατικές και μη κρατικές απειλές, μπορεί να υπάρχει μια άλλη μη παραδοσιακή τεχνική πρόκληση όπου οι δεξιότητές τους θα μπορούσε να είναι χρήσιμη.

 

Στη βιασύνη να εμβολιαστούν ολόκληρες χώρες, οι οργανισμοί υγειονομικής περίθαλψης αντιμετωπίζουν το άνευ προηγουμένου διοικητικό και υλικοτεχνικό καθήκον της οργάνωσης ραντεβού για ασθενείς, ενώ προσπαθούν για τη μικρότερη δυνατή σπατάλη πολύτιμων δόσεων εμβολίων. Για να βοηθήσουν σε αυτή την προσπάθεια, πολλοί οργανισμοί χρησιμοποιούν κάποια μορφή διαδικτυακής πύλης ή προγραμματιστή. Το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS) δημοσίευσε ακόμη και μια ειδοποίηση διακριτικής ευχέρειας επιβολής για Διαδικτυακές ή διαδικτυακές εφαρμογές προγραμματισμού.[10] Δυστυχώς, αυτοί οι προγραμματιστές έχουν γίνει θύμα επιθέσεων «bot» που ενορχηστρώθηκαν από scalpers.

 

Σύμφωνα με το Reuters, «οι λιανοπωλητές και τα φαρμακεία των ΗΠΑ όπως η Walgreens και η CVS Health προετοιμάζονται για έναν νέο γύρο επιθέσεων «bot» από scalpers που ελπίζουν να κλείσουν τα ραντεβού για εμβόλια COVID-19».[11] Αν και αυτό το είδος συμπεριφοράς είναι οικείο σε οποιονδήποτε προσπαθεί να αγοράσει αντικείμενα περιορισμένης ποσότητας, όπως το πιο πρόσφατο gadget τεχνολογίας ή εισιτήρια αθλητικών εκδηλώσεων, και οι δύο αυτές περιπτώσεις κατηγοριοποιούνται πιο εύκολα ως ενοχλητικές. Δεν μπορεί να ειπωθεί το ίδιο εάν μια τέτοια συμπεριφορά αρχίσει να επηρεάζει σημαντικά την ανάπτυξη εμβολιασμού.

 

Σύμφωνα με το Reuters, «τις τελευταίες εβδομάδες, οι άνθρωποι μοιράστηκαν στα δίκτυα κοινωνικής δικτύωσης ιστορίες φρίκης απόπειρας να εξασφαλίσουν ραντεβού εμβολιασμού από κυβερνητικές πηγές, με ορισμένους να κατηγορούν τα bots για κολλήματα ιστότοπου και κλεμμένα κουλοχέρηδες». Τόσο η Walgreens όσο και η CVS έχουν δηλώσει ότι γνωρίζουν το ζήτημα και έχουν θεσπίσει πολλαπλές άμυνες για ανίχνευση και πρόληψη.

 

Δράση & Ανάλυση
**Απαιτείται συνδρομή**

 

 

Συνέδριο -

 

Τρίτη 9 Φεβρουαρίου:

– Καμία σχετική ακρόαση

 

Τετάρτη, 10 Φεβρουαρίου:

– Βουλή των Αντιπροσώπων – Επιτροπή Ακρόασης Εσωτερικής Ασφάλειας: Homeland Cybersecurity: Assessing Cyber ​​Threats and Building Resilience

 

 

Πέμπτη 11 Φεβρουαρίου:

– Καμία σχετική ακρόαση

 

 

International Ακροάσεις/Συναντήσεις -

 

– Καμία σχετική ακρόαση

 

 

ΕΕ -

 

– Καμία σχετική ακρόαση

 

 

 

Διάφορα -

 

 

 

 

Συνέδρια, διαδικτυακά σεμινάρια και συνόδους κορυφής –       

 

 

https://h-isac.org/events/

 

Επικοινωνήστε μαζί μας: ακολουθήστε το @HealthISAC και στείλτε email στο contact@h-isac.org

 

[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point

[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020

[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf

[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S

  • Σχετικοί πόροι και νέα