Health-ISAC Hacking Healthcare 6-15-2021

TLP White: این هفته، هک مراقبت های بهداشتی به جمع آوری و تجزیه و تحلیل گردباد پیشرفت های باج افزار اخیر در بخش عمومی و خصوصی اختصاص دارد. ما علاوه بر تجزیه و تحلیل آنچه اتفاق افتاده است، به راهنمایی‌ها و توصیه‌های جدید اشاره می‌کنیم و نظرات خود را در مورد اینکه چگونه این پیشرفت‌ها در رسیدگی به مشکل باج‌افزار مفید یا غیرمفید بوده‌اند، ارائه می‌کنیم.

برای یادآوری، این نسخه عمومی وبلاگ هک بهداشت است. برای تجزیه و تحلیل عمیق و نظر بیشتر، عضو H-ISAC شوید و نسخه TLP Amber این وبلاگ (موجود در پورتال اعضا) را دریافت کنید.

بازگشت به هک مراقبت های بهداشتی.

1. معرفی

باج افزار هیچ مشکلی در حفظ کانون توجه نداشته است زیرا حوادث پرمخاطب در چند هفته گذشته همچنان در حال افزایش بوده است. مقامات دولتی و سازمان‌های بخش خصوصی برای رسیدگی به وضعیت فزاینده وخیم تلاش می‌کنند و سرعتی که با آن وضعیت کلی در حال تحول است، می‌تواند به راحتی از دست دادن تحولات بحرانی کمک کند. با در نظر گرفتن این موضوع، ما این نسخه را اختصاص داده ایم هک مراقبت های بهداشتی برای بررسی پیشرفت‌های باج‌افزار اخیر، ارزیابی تأثیر آن‌ها بر بخش خصوصی، و برجسته کردن تعدادی از توصیه‌هایی که اعضای H-ISAC ممکن است ارزشمند بدانند.

پاسخ دولت

ما با دولت بایدن شروع می کنیم. دولت امنیت سایبری را به یک حوزه اولویت‌دار تبدیل کرده است و هیچ کمبودی در حوادث امنیت سایبری حیاتی برای پاسخ‌گویی پیدا نکرده است. علیرغم مصادف شدن زمان با حمله باج‌افزار استعماری Pipeline، دستورات اجرایی اخیر مربوط به سایبری دولت در مورد دخالت روسیه، چالش‌های زنجیره تامین و امنیت سایبری اساساً به عنوان پاسخی به حوادث قبلی مانند SolarWinds طراحی شده بود و کمتر بر روی موضوع باج‌افزار متمرکز بود. . با این حال، در چند هفته گذشته، دولت بایدن گام‌های متعددی برای رسیدگی به موج بی‌امان باج‌افزار برداشته است.

وزارت دادگستری

وزارت دادگستری (DOJ) به ویژه در این زمینه فعال بوده است.

گروه کاری باج افزار: همانطور که در نسخه قبلی به طور خلاصه به آن پرداختیم، یک یادداشت داخلی DOJ در اواخر آوریل منتشر شد که از تشکیل یک گروه کاری باج افزار خبر می داد. این یادداشت تشخیص داد که باج افزار نه تنها یک تهدید اقتصادی رو به رشد است، بلکه تهدیدی برای سلامت و ایمنی شهروندان آمریکایی است.[1] گزارش شده است که این یادداشت منجر به بهبود اشتراک‌گذاری اطلاعات در سراسر DOJ، ایجاد استراتژی که تمام جنبه‌های اکوسیستم باج‌افزار را هدف قرار می‌دهد، و به طور کلی رویکردی فعال‌تر خواهد بود.[2]

Ransomware Elevation: استراتژی و رویکرد فوق الذکر تا حدی در ابتدای ژوئن رونمایی شد، زمانی که گزارش شد که دستورالعمل‌های داخلی وزارت دادگستری بیشتر منتشر شده است که به تحقیقات در مورد حملات باج‌افزار اولویتی مشابه با تروریسم می‌دهد.[3] این اقدام مستلزم این است که پرونده‌ها و تحقیقات باج‌افزار به طور متمرکز با گروه کاری باج‌افزار در واشنگتن دی سی هماهنگ شود تا اطمینان حاصل شود که بهترین درک ممکن و تصویر عملیاتی می‌تواند برای ذینفعان مختلف درگیر در حوادث باج‌افزار ایجاد شود.

بازیابی باج: زمانی که Colonial Pipeline تقاضای باج را به بیت کوین پرداخت کرد، بسیاری تصور کردند که عاملان و پول به همان اندازه از بین رفته اند. با این حال، یک عملیات تحت رهبری FBI توانست 2.3 میلیون دلار بیت کوین پرداخت شده به عنوان باج را ضبط کند.[4] گفته می شود FBI حرکت وجوه باج را در یک دفتر کل بیت کوین که به طور عمومی قابل مشاهده است را ردیابی کرده و سپس به حساب مجازی دسترسی پیدا کرده است که بیشتر آن در آنجا به پایان می رسد.[5]

سایبرکام ایالات متحده

خارج از وزارت دادگستری، فرماندهی سایبری ایالات متحده (CYBERCOM) که مأموریت آن "مدیریت، همگام سازی و هماهنگی برنامه ریزی و عملیات فضای سایبری - برای دفاع و پیشبرد منافع ملی - با همکاری شرکای داخلی و بین المللی" است، نیز باید در پاسخ به تهدیدات باج افزار[6]

شنوایی: در یک جلسه استماع مجازی جمعه گذشته، ژنرال ناکاسون، که هم به عنوان رئیس CYBERCOM و هم به عنوان مدیر NSA مورد نفرت قرار گرفت، از نیاز به مقامات جدید برای تعقیب گروه های مجرم سایبری خودداری کرد.[7] او اظهار داشت که فکر می‌کند «تمام اختیاراتی را دارد که من به آن نیاز دارم تا بتوانم از نظر اطلاعاتی علیه این دشمنان خارج از ایالات متحده محاکمه کنم».[8] با این حال، به طور خاص در مورد باج افزار صحبت کرد، او گفت که چالش واقعی، و چالشی که دولت بایدن روی آن کار می کند، این است که چگونه اطلاعات و اقدامات را با سهامداران مختلف دولتی و خصوصی به اشتراک بگذارد و هماهنگ کند و در عین حال تعیین کند که چه کسی رهبری کلی را بر عهده دارد. تلاش ها [9]

DHS

راهنما - CISA: افزایش تهدید باج افزار برای دارایی های OT: اهمیت بالای باج افزار همچنین منجر به انتشار دستورالعمل های اضافی از سوی دولت شده است، از جمله برگه اطلاعات CISA با عنوان، افزایش تهدید باج افزار برای دارایی های فناوری عملیاتی.[10] این سند سه صفحه‌ای یک نمای کلی از تهدید باج‌افزار، به‌ویژه دارایی‌های OT ارائه می‌دهد و سپس اقداماتی را که سازمان‌ها باید برای آماده‌سازی، کاهش و واکنش به باج‌افزار انجام دهند، تشریح می‌کند.

تحولات بخش خصوصی

همچنین در هفته های اخیر چند باج افزار قابل توجه در رابطه با بخش خصوصی رخ داده است. متأسفانه، این تحولات بیشتر به سمت منفی بوده است تا مثبت. حملات باج‌افزاری پرمخاطب همچنان منجر به باج‌گیری چند میلیون دلاری می‌شود و کنگره ایالات متحده به شدت از نحوه واکنش بخش خصوصی به حوادث انتقاد کرده است.

گروه وظیفه باج افزار IST (RTF): RTF، گروهی متشکل از 60 متخصص از بخش دولتی و خصوصی، گزارشی 81 صفحه‌ای منتشر کرد که چارچوب دقیق و کاملی برای مبارزه با باج‌افزار ارائه می‌دهد.[11] این سند باید به آموزش افراد در مورد تفاوت های ظریف باج افزار کمک کند و در عین حال اقدامات سیاستی عملی و عملی را نیز ارائه دهد.

RTF که توسط مؤسسه امنیت و فناوری (IST) گردآوری شده است، شامل نمایندگی از شرکت های فناوری بزرگ مانند مایکروسافت و آمازون است. سازمان‌های امنیت سایبری مانند Rapid7، Palo Alto Networks، ائتلاف امنیت سایبری، اتحاد تهدید سایبری، و اتحاد جهانی سایبری؛ و سازمان های دولتی مانند مرکز ملی امنیت سایبری بریتانیا (NCSC) و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA).

JBS و CNA: JBS، یکی از بزرگ‌ترین تولیدکنندگان گوشت در ایالات متحده، اخیراً به یکی از باج‌افزارهای بعدی پس از Colonial Pipeline تبدیل شده است. این حمله تأثیرات گسترده ای داشت، زیرا عملیات JBS در استرالیا، کانادا و ایالات متحده گزارش شده است که همه تحت تأثیر قرار گرفتند.[12] در نهایت JBS باج 11 میلیون دلاری را پرداخت کرد تا مطمئن شود که عاملان اطلاعات شرکت را سرقت نکرده اند.[13]

با این حال، این پرداخت در مقایسه با نزدیک به 40 میلیون دلاری که سازمان بیمه CNA Financial Corp برای "بازپس گیری کنترل شبکه خود پس از یک حمله باج افزار" پرداخت کرده است، کم رنگ است.[14] در حالی که به نظر می رسد این حمله در ماه مارس رخ داده است، جزئیات پرداخت باج تنها در اواخر ماه مه منتشر شد.

کنگره مخالفت می کند: در جلسه استماع کنگره هفته گذشته، قانونگذاران مکرراً با جوزف بلانت، مدیر اجرایی Colonial Pipeline در نحوه پاسخگویی آنها به حادثه باج افزار خود، درگیر شدند. برخی از قانونگذاران تاکید کردند که بررسی‌های داوطلبانه امنیت سایبری اداره امنیت حمل و نقل توسط استعماری Pipeline رد شد و نماینده بانی واتسون کلمن (D) اظهار داشت: "تأخیر این ارزیابی‌ها برای مدت طولانی به معنای رد آنهاست، قربان."[15] برخی دیگر با تصمیم خط لوله مبنی بر عدم تماس فوری با DHS و CISA یا پذیرش کمک آنها در عملیات بازیابی مخالفت کردند.[16] تعدادی از اعضای کنگره تا آنجا پیش رفتند که این سؤال را مطرح کردند که آیا استانداردهای داوطلبانه امنیت سایبری و رویکرد «دست‌آمیز» به زیرساخت‌های حیاتی هنوز قابل دوام است یا خیر.[17]

اقدام و تحلیل
**عضویت الزامی است**

کنگره -

سه شنبه، ژوئن 15th:

- بدون جلسات استماع مرتبط

چهارشنبه، ژوئن 16th:

- سنا - کمیته امنیت داخلی و امور دولتی: جلسه کاری برای بررسی نامزدهای جن ایسترلی به عنوان مدیر آژانس امنیت سایبری و امنیت زیرساخت، وزارت امنیت داخلی و کریس اینگلیس به عنوان مدیر ملی سایبری.

-مجلس نمایندگان - کمیته امنیت داخلی: تهدیدات سایبری در خط لوله: درس هایی از واکنش فدرال به حمله باج افزار خط لوله استعماری

پنجشنبه 17 ژوئن:

- بدون جلسات استماع مرتبط

بین المللی جلسات استماع / جلسات -

- بدون جلسات مرتبط

اتحادیه اروپا -

کنفرانس ها، وبینارها و اجلاس سران –

https://h-isac.org/events/

با ما تماس بگیرید: @HealthISAC را دنبال کنید و به آدرس contact@h-isac.org ایمیل بزنید

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

• منابع و اخبار مرتبط