Saltar al contenido principal

Salud-ISAC Hackeando la sanidad 6-15-2021

TLP Blanco: Esta semana, Hackeando la atención médica se dedica a recopilar y analizar el torbellino de desarrollos recientes de ransomware tanto en el sector público como en el privado. Además de desglosar lo que ha estado sucediendo, citamos nuevas pautas y recomendaciones y brindamos nuestras opiniones sobre cómo estos desarrollos han sido útiles o no para abordar el problema del ransomware.

Como recordatorio, esta es la versión pública del blog Hacking Healthcare. Para obtener más análisis y opiniones en profundidad, conviértase en miembro de H-ISAC y reciba la versión TLP Amber de este blog (disponible en el Portal de miembros).

 

Bienvenido de nuevo a Hackeando la atención médica.

 

1. Introducción

El ransomware no ha tenido problemas para mantener el foco de atención a medida que los incidentes de alto perfil han seguido aumentando en las últimas semanas. Las autoridades gubernamentales y las organizaciones del sector privado están luchando por abordar la situación cada vez más grave, y la velocidad con la que evoluciona la situación general puede hacer que sea fácil pasar por alto los acontecimientos críticos. Con esto en mente, hemos dedicado esta edición de Hackeando la atención médica examinar los desarrollos recientes de ransomware, evaluar su impacto en el sector privado y destacar una serie de recomendaciones que los miembros de H-ISAC pueden considerar valiosas.

 

Respuesta del gobierno

 

Empecemos por la administración Biden, que ha hecho de la ciberseguridad una cuestión prioritaria y no ha encontrado escasez de incidentes críticos de ciberseguridad a los que responder. A pesar de que el momento coincide con el ataque de ransomware a Colonial Pipeline, las recientes órdenes ejecutivas de la administración relacionadas con la ciberseguridad sobre la interferencia rusa, los desafíos de la cadena de suministro y la ciberseguridad se diseñaron principalmente como una respuesta a incidentes anteriores como SolarWinds y se centraron menos directamente en el problema del ransomware. Sin embargo, en las últimas semanas, la administración Biden ha tomado numerosas medidas para abordar la incesante ola de ransomware.

 

Departamento de Justicia

 

El Departamento de Justicia (DOJ) ha sido especialmente activo en este área.

 

Grupo de trabajo de ransomware:Como ya comentamos brevemente en una edición anterior, a finales de abril se emitió un memorando interno del Departamento de Justicia en el que se anunciaba la formación de un grupo de trabajo sobre ransomware. El memorando reconocía que el ransomware no solo era una amenaza económica creciente, sino también una amenaza para la salud y la seguridad de los ciudadanos estadounidenses.[ 1 ] Se ha informado que este memorando conducirá a un mejor intercambio de inteligencia en todo el Departamento de Justicia, a la creación de una estrategia que aborde todos los aspectos del ecosistema de ransomware y a un enfoque más proactivo en general.[ 2 ]

 

Elevación de ransomware:La estrategia y el enfoque antes mencionados se dieron a conocer parcialmente a principios de junio, cuando se informó que se distribuyó una guía interna adicional del Departamento de Justicia que otorgaba a las investigaciones de ataques de ransomware una prioridad similar al terrorismo.[ 3 ] La medida requiere que los casos y las investigaciones de ransomware se coordinen de manera central con el grupo de trabajo sobre ransomware en Washington, DC, a fin de garantizar que se pueda crear la mejor comprensión y el mejor panorama operativo posibles para las distintas partes interesadas involucradas en incidentes de ransomware.

 

Recuperación de rescate:Cuando Colonial Pipeline pagó el rescate en Bitcoin, muchos asumieron que los perpetradores y el dinero habían desaparecido. Sin embargo, una operación dirigida por el FBI logró incautar 2.3 millones de dólares en Bitcoin pagados como rescate.[ 4 ] El FBI supuestamente rastreó el movimiento de los fondos del rescate en un libro de contabilidad de Bitcoin visible públicamente y luego obtuvo acceso a la cuenta virtual donde terminó la mayor parte.[ 5 ]

 

CIBERCOM DE EE.UU.

 

Fuera del Departamento de Justicia, el Comando Cibernético de Estados Unidos (CYBERCOM), cuya misión es “dirigir, sincronizar y coordinar la planificación y las operaciones del ciberespacio para defender y promover los intereses nacionales, en colaboración con socios nacionales e internacionales”, también tiene un papel que desempeñar en la respuesta a las amenazas de ransomware.[ 6 ]

 

Oír:En una audiencia virtual el viernes pasado, el general Nakasone, que ejerce de jefe del CYBERCOM y director de la NSA, rechazó la necesidad de nuevas autoridades para perseguir a los grupos cibercriminales.[ 7 ] Afirmó que cree que tiene “todas las autoridades que necesito para poder procesar en términos de inteligencia a estos adversarios fuera de Estados Unidos”.[ 8 ] Sin embargo, hablando específicamente sobre ransomware, transmitió que el verdadero desafío, y en el que está trabajando la administración Biden, es cómo compartir y coordinar inteligencia y acción con varias partes interesadas públicas y privadas, al tiempo que se determina quién está a cargo de los esfuerzos generales. [ 9 ]

 

DHS

 

Guía – CISA: La creciente amenaza del ransomware para los activos OT: La creciente importancia del ransomware también ha llevado a la publicación de una guía adicional por parte del gobierno, incluida una hoja informativa de CISA tituladaLa creciente amenaza del ransomware para los activos tecnológicos operativos.[ 10 ] El documento de tres páginas ofrece una descripción general de la amenaza del ransomware, específicamente para los activos OT, y luego describe las acciones que las organizaciones deben tomar para prepararse, mitigar y responder al ransomware.

 

Desarrollos del sector privado

 

En las últimas semanas también se han producido algunos acontecimientos notables relacionados con el ransomware en el sector privado. Lamentablemente, estos acontecimientos han tendido a ser más negativos que positivos. Los ataques de ransomware de alto perfil siguen dando lugar a pagos de rescates multimillonarios, y el Congreso de los Estados Unidos ha sido muy crítico con la forma en que el sector privado ha respondido a los incidentes.

 

Grupo de trabajo sobre ransomware IST (RTF): El RTF, un grupo de unos 60 expertos del sector público y privado, publicó un informe de 81 páginas que proporciona un marco detallado y exhaustivo para combatir el ransomware.[ 11 ] Este documento debería ayudar a educar a las personas sobre los matices del ransomware y, al mismo tiempo, brindar acciones políticas prácticas y viables.

 

Reunido por el Instituto de Seguridad y Tecnología (IST), el RTF incluye representación de importantes empresas de tecnología como Microsoft y Amazon; organizaciones de ciberseguridad como Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber ​​Threat Alliance y Global Cyber ​​Alliance; y organizaciones gubernamentales como el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA).

 

 

JBS y CNA: JBS, uno de los procesadores de carne más grandes de Estados Unidos, se convirtió recientemente en uno de los siguientes incidentes de ransomware de alto perfil después de Colonial Pipeline. El ataque tuvo impactos generalizados, ya que se informó que las operaciones de JBS en Australia, Canadá y Estados Unidos se vieron afectadas.[ 12 ] Finalmente, JBS pagó un rescate de aproximadamente 11 millones de dólares con la intención de garantizar que los perpetradores no robaran datos de la empresa.[ 13 ]

 

Sin embargo, ese pago es insignificante en comparación con los casi 40 millones de dólares que la organización de seguros CNA Financial Corp. habría pagado para “recuperar el control de su red después de un ataque de ransomware”.[ 14 ] Aunque ese ataque parece haber ocurrido en marzo, los detalles del pago del rescate recién se hicieron públicos a fines de mayo.

 

El Congreso expresa su desaprobación: En una audiencia del Congreso la semana pasada, los legisladores hablaron repetidamente con el director ejecutivo de Colonial Pipeline, Joseph Blunt, sobre la forma en que respondieron al incidente de ransomware. Algunos legisladores afirmaron que Colonial Pipeline rechazó las revisiones voluntarias de ciberseguridad de la Administración de Seguridad del Transporte, y la representante Bonnie Watson Coleman (demócrata) afirmó: "Retrasar estas evaluaciones durante tanto tiempo equivale a rechazarlas, señor".[ 15 ] Otros cuestionaron la decisión del oleoducto de no comunicarse inmediatamente con DHS y CISA ni aceptar su ayuda en las operaciones de recuperación.[ 16 ] Algunos miembros del Congreso llegaron incluso a cuestionar si las normas voluntarias de ciberseguridad y un enfoque de “no intervención” en la infraestructura crítica aún eran sostenibles.[ 17 ]

 

Acción y análisis
**Se requiere membresía**

 

 

Congreso

 

Martes, Junio ​​15th:

– No hay audiencias relevantes

 

Miércoles, junio 16:

– Senado – Comité de Seguridad Nacional y Asuntos Gubernamentales: Reunión de negocios para considerar las nominaciones de Jen Easterly, para ser Directora de la Agencia de Seguridad Cibernética y de Infraestructura, Departamento de Seguridad Nacional, y Chris Inglis, para ser Director Cibernético Nacional.

 

-Cámara de Representantes – Comité de Seguridad Nacional: Amenazas cibernéticas en ciernes: lecciones de la respuesta federal al ataque de ransomware a Colonial Pipeline

 

Jueves, junio 17th:

– No hay audiencias relevantes

 

Internacional Audiencias/Reuniones

– No hay reuniones relevantes

 

UE -

 

 

 

Conferencias, seminarios web y cumbres –

 

 

https://h-isac.org/events/

 

Contáctenos: siga a @HealthISAC y envíe un correo electrónico a contact@h-isac.org

 

[ 1 ] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[ 2 ] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[ 3 ] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[ 4 ] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[ 5 ] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[ 6 ] https://www.cybercom.mil/About/Mission-and-Vision/

[ 7 ] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[ 8 ] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[ 9 ] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[ 10 ] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[ 11 ] https://securityandtechnology.org/ransomwaretaskforce/

[ 12 ] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[ 13 ] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[ 14 ] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[ 15 ] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[ 16 ] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[ 17 ] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Recursos y noticias relacionados