Otse pealehele

Health-ISAC Hacking Healthcare 6

TLP White: sel nädalal Tervishoiu häkkimine on pühendunud hiljutiste lunavaraarenduste keeristormi koondamisele ja analüüsimisele nii avalikus kui erasektoris. Lisaks toimuva selgitamisele tsiteerime uusi juhiseid ja soovitusi ning anname oma mõtteid selle kohta, kuidas need arengud on olnud lunavaraprobleemi lahendamisel kasulikud või mitte.

Tuletame meelde, et see on Hacking Healthcare'i ajaveebi avalik versioon. Täiendava põhjaliku analüüsi ja arvamuse saamiseks astuge H-ISACi liikmeks ja hankige selle ajaveebi TLP Amber versioon (saadaval liikmete portaalis).

 

Tere tulemast tagasi Tervishoiu häkkimine.

 

1. Sissejuhatus

Ransomwarel pole olnud probleeme tähelepanu keskpunktis hoidmisega, kuna viimastel nädalatel on kõrgetasemelisi juhtumeid pidevalt sagenenud. Valitsusasutused ja erasektori organisatsioonid püüavad tegeleda üha hullemaks muutuva olukorraga ning üldise olukorra arenemise kiirus võib muuta kriitilistest arengutest märkamata jätmise lihtsaks. Seda silmas pidades oleme pühendanud selle väljaande Tervishoiu häkkimine uurida hiljutisi lunavaraarendusi, hinnata nende mõju erasektorile ja tuua esile mitmeid soovitusi, mida H-ISACi liikmed võivad väärtuslikuks pidada.

 

Valitsuse vastus

 

Alustame Bideni administratsioonist. Administratsioon on seadnud küberturvalisuse prioriteetseks teemavaldkonnaks ja pole leidnud, et kriitilistest küberjulgeolekuintsidentidest, millele reageerida, pole puudust. Hoolimata ajast, mis langes kokku Colonial Pipeline'i lunavararünnakuga, olid administratsiooni hiljutised küberalased korraldused Venemaa sekkumise, tarneahela väljakutsete ja küberjulgeoleku kohta peamiselt vastuseks varasematele intsidentidele, nagu SolarWinds, ja ei keskendunud nii lunavara probleemile. . Siiski on Bideni administratsioon viimastel nädalatel astunud mitmeid samme lunavara lakkamatu lainega tegelemiseks.

 

Justiitsministeerium

 

Justiitsministeerium (DOJ) on selles valdkonnas olnud eriti aktiivne.

 

Ransomware Task Force: Nagu me ühes varasemas väljaandes põgusalt käsitlesime, anti aprilli lõpus välja DOJ-i sisemine memo, mis teatas lunavara töörühma moodustamisest. Memos tunnistati, et lunavara pole mitte ainult kasvav majanduslik oht, vaid ka oht Ameerika kodanike tervisele ja turvalisusele.[1] On teatatud, et see memo toob kaasa parema luureandmete jagamise kogu DOJ-s, strateegia loomise, mis on suunatud lunavara ökosüsteemi kõikidele aspektidele, ja üldiselt proaktiivsema lähenemisviisi.[2]

 

Ransomware Elevation: Eelnimetatud strateegiat ja lähenemisviisi avalikustati osaliselt juuni alguses, kui teatati, et levitati täiendavaid siseriiklikke DOJ-i juhiseid, mis andsid lunavararünnakute uurimisele terrorismiga sarnase prioriteedi.[3] Kolimine nõuab lunavarajuhtumite ja -uurimiste tsentraalset koordineerimist Washingtonis asuva lunavara töörühmaga, et tagada lunavarajuhtumitega seotud erinevatele sidusrühmadele võimalikult hea arusaamine ja toimiv pilt.

 

Lunaraha taastamine: Kui Colonial Pipeline maksis lunaraha Bitcoinis, eeldasid paljud, et kurjategijad on ja raha on nagu läinud. FBI juhitud operatsioon suutis aga arestida lunarahana välja makstud Bitcoini 2.3 miljonit dollarit.[4] Väidetavalt jälgis FBI lunaraha liikumist avalikult nähtaval Bitcoini pearaamatul ja pääses seejärel ligi virtuaalsele kontole, kuhu suurem osa sellest jõudis.[5]

 

USA KÜBERCOM

 

Väljaspool DOJ-d on oma osa ka USA küberväejuhatusel (CYBERCOM), mille missioon on "Küberruumi planeerimise ja operatsioonide suunamine, sünkroonimine ja koordineerimine – kaitsta ja edendada riiklikke huve koostöös kodumaiste ja rahvusvaheliste partneritega". lunavaraohtudele reageerimine.[6]

 

kuulmine: Eelmisel reedel toimunud virtuaalsel ärakuulamisel keeldus kindral Nakasone, kes oli nii CYBERCOMi juht kui ka NSA direktor, uute võimude vajadusest küberkurjategijate rühmituste jälitamiseks.[7] Ta märkis, et tema arvates on tal olemas "kõik võimud, mida ma vajan, et saaksin nende vastaste suhtes väljaspool USA-d luureandmete alusel kohtu alla anda."[8] Kuid konkreetselt lunavarast rääkides ütles ta, et tõeline väljakutse, millega Bideni administratsioon tegeleb, on see, kuidas jagada ja koordineerida luureandmeid ja tegevusi erinevate avalike ja erasektori sidusrühmadega, määrates ühtlasi kindlaks, kes võtab juhtrolli üldiselt. jõupingutusi. [9]

 

DHS

 

Juhised – CISA: kasvav lunavaraoht OT varadele: Lunavara kõrgendatud tähtsus on viinud ka valitsuse täiendavate juhiste avaldamiseni, sealhulgas CISA teabelehe, Kasvav lunavaraoht operatsioonitehnoloogia varadele.[10] Kolmeleheküljeline dokument annab ülevaate lunavaraohust, eriti OT varadele, ning seejärel kirjeldab tegevusi, mida organisatsioonid peaksid lunavaraks valmistumiseks, selle leevendamiseks ja sellele reageerimiseks ette võtma.

 

Erasektori arengud

 

Viimastel nädalatel on erasektoriga seotud ka mõned märkimisväärsed lunavaraarendused. Kahjuks on need arengud pigem negatiivsed kui positiivsed. Kõrgetasemelised lunavararünnakud toovad jätkuvalt kaasa mitme miljoni dollari suuruseid lunarahamakseid ning USA Kongress on olnud erasektori intsidentidele reageerimise suhtes väga kriitiline.

 

IST Ransomware Task Force (RTF): RTF, grupp, mis koosneb ~60 eksperdist nii avalikust kui ka erasektorist, avaldas 81-leheküljelise raporti, mis annab üksikasjaliku ja põhjaliku raamistiku lunavara vastu võitlemiseks.[11] See dokument peaks aitama harida inimesi lunavara nüansside osas, pakkudes samas ka praktilisi ja rakendatavaid poliitilisi meetmeid.

 

Turva- ja tehnoloogiainstituudi (IST) poolt kokku pandud RTF hõlmab suuremate tehnoloogiaettevõtete, nagu Microsoft ja Amazon, esindusi; küberjulgeoleku organisatsioonid, nagu Rapid7, Palo Alto Networks, küberturvalisuse koalitsioon, küberohtude liit ja ülemaailmne küberliit; ja valitsusorganisatsioonid, nagu Ühendkuningriigi riiklik küberjulgeoleku keskus (NCSC) ja USA küberturvalisuse ja infrastruktuuri turbeagentuur (CISA).

 

 

JBS ja CNA: USA üks suurimaid lihatöötlejaid JBS-ist sai hiljuti üks järgmiseid kõrgetasemelisi lunavarajuhtumeid pärast Colonial Pipeline'i. Rünnakul oli laialdane mõju, kuna väidetavalt mõjutati JBSi operatsioone Austraalias, Kanadas ja USA-s.[12] Lõppkokkuvõttes maksis JBS umbes 11 miljoni dollari suuruse lunaraha eesmärgiga tagada, et kurjategijad ei varastaks ettevõtte andmeid.[13]

 

See makse aga kahvatub ligi 40 miljoni dollari ees, mille kindlustusorganisatsioon CNA Financial Corp. väidetavalt maksis välja, et "taas kontroll oma võrgu üle pärast lunavararünnakut".[14] Kuigi see rünnak näib aset leidnud märtsis, avalikustati lunaraha maksmise üksikasjad alles mai lõpus.

 

Kongressi häälte tagasilükkamine: Eelmisel nädalal toimunud kongressi kuulamisel suhtlesid seadusandjad korduvalt Colonial Pipeline'i tegevjuhi Joseph Bluntiga, kuidas nad reageerisid nende lunavarajuhtumile. Mõned seadusandjad väitsid, et Colonial Pipeline keeldus Transporditurvalisuse Administratsiooni vabatahtlikest küberjulgeolekuülevaatest, kusjuures esindaja Bonnie Watson Coleman (D) ütles: "Hinnamiste edasilükkamine nii kaua tähendab nendest keeldumist, söör."[15] Teised vaidlustasid torujuhtme otsuse mitte pöörduda kohe DHS-i ja CISA poole ega aktsepteerida nende abi taastamistoimingutes.[16] Mõned kongressi liikmed läksid nii kaugele, et seadsid kahtluse alla, kas vabatahtlikud küberjulgeolekustandardid ja "käed eemale" lähenemine kriitilisele infrastruktuurile on endiselt vastuvõetav.[17]

 

Tegevus ja analüüs
**Liikmelisus on vajalik**

 

 

Kongress -

 

Teisipäev, juuni 15th:

– Asjakohaseid ärakuulamisi pole

 

Kolmapäev, juuni 16:

– Senat – sisejulgeoleku- ja valitsusasjade komisjon: ärikohtumine, et arutada Jen Easterly, sisejulgeoleku osakonna küberjulgeoleku ja infrastruktuuri turbeagentuuri direktori ning Chris Inglise riikliku küberdirektori ametisse nimetamist.

 

- Esindajatekoda – sisejulgeoleku komitee: küberohud torujuhtmes: õppetunnid föderaalsest vastusest koloonia torujuhtme lunavararünnakule

 

Neljapäeval, 17. juunil:

– Asjakohaseid ärakuulamisi pole

 

rahvusvaheliselt Kuulamised/koosolekud -

– asjakohaseid koosolekuid pole

 

EL -

 

 

 

Konverentsid, veebiseminarid ja tippkohtumised –

 

 

https://h-isac.org/events/

 

Võtke meiega ühendust: järgige @HealthISAC ja saatke e-kiri aadressil contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Seotud ressursid ja uudised