Pääsisältö

H-ISAC Hacking Healthcare 2

TLP White: Tällä viikolla Terveydenhuollon hakkerointi alkaa toisella tarkastelulla lunnasohjelmiin. Analysoimme erityisesti kuluneen vuoden aikana esiin tulleita trendejä, vuoden 2020 viimeisen neljänneksen dataa ja sitä, mitä se kertoo meille siitä, mihin asiat ovat menossa, ja miksi kiristysohjelmien menettäminen kannattamattomaksi kyberrikollisille voi itse asiassa olla haitallista terveydenhuoltoalalle. Päätämme purkamalla epäperinteisen kyberuhan, joka voi haitata rokotusten käyttöönottoa, ja miksi ratkaisujen löytäminen ei ehkä ole niin helppoa.

Muistutuksena, tämä on Hacking Healthcare -blogin julkinen versio. Jos haluat lisäanalyysiä ja mielipiteitä, liity H-ISAC:n jäseneksi ja vastaanota tämän blogin TLP Amber -versio (saatavilla jäsenportaalissa).

 

Tervetuloa takaisin Terveydenhuollon hakkerointi.

 

1. 2020 Ransomware Review

Vaikuttaa turvalliselta vedolta, että kiristysohjelmat ovat edelleen vitsaus vuonna 2021, mutta jotkut äskettäin julkaistut tiedot viittaavat siihen, että kehittyvät menetelmät ja taktiikat auttavat varmistamaan, että tilanne pysyy muuttumattomana. Useat viimeaikaiset raportit ovat auttaneet saattamaan ongelman laajuuden kontekstiin, eikä ransomwaren suuri vaikutus terveydenhuoltoalaan ole yllätys. Näistä tiedoista on useita huomionarvoisia poimintoja, mukaan lukien mahdollisesti rohkaisevia uutisia, jotka viittaavat siihen, että kiristysohjelmahyökkäykset ovat tulossa vähemmän tuottoisiksi tekijöille. Analyysiosiomme kuitenkin tutkii, miksi se ei ehkä hyödytä terveydenhuoltoalaa.

 

Kertaus

 

Kerrataanpa ensin nopeasti asioiden tilanne. Terveydenhuollon haasteet ovat olleet valtavia kuluneen vuoden aikana, eivätkä kyberrikolliset todellakaan ole helpottaneet COVID-19:n käsittelyä. VMware Carbon Black raportoi 239.4 miljoonasta kyberhyökkäysyrityksestä pelkästään omia terveydenhuollon asiakkaitaan vastaan ​​vuonna 2020, mikä huipentui lähes uskomattomaan tilastoon, jonka mukaan "terveydenhuollon toimijat kokivat viime vuonna 816 hyökkäystä päätepistettä kohden, mikä on uskomaton 9,851 2019 prosentin kasvu vuodesta XNUMX."[1] Tämä tieto tulee vain viikkoja sen jälkeen, kun kyberturvallisuusyritys Emsisoft ilmoitti, että ainakin 560 terveydenhuollon tarjoajaa joutui kiristysohjelmien uhriksi vuonna 2020.[2]

 

Masentavaa on se, että yleisin terveydenhuoltoalaa iskenyt kiristysohjelma näyttää olleen Cerber. Vuonna 2017 rehottava Cerber oli laskenut huomattavasti vuoteen 2018 mennessä, ennen kuin se nousi jälleen viime vuonna ja vastasi 58 % VMware Carbon Blackin terveydenhuoltoalan asiakkaita vastaan ​​tehdyistä kiristysohjelmahyökkäyksistä.[3] Vaikka Carbon Black totesi, että Cerberille oli tehty päivityksiä ja mukautuksia, jotkin muunnelmien menestykset vuonna 2020 liittyvät lähes varmasti korjaamattomiin haavoittuvuuksiin, mikä jälleen kerran korostaa kyberturvallisuuden lisävaikeutta terveydenhuoltoalalla.[4]

 

Positiivinen merkki vaarallisen potentiaalin kanssa

 

Mahdollisesti hyviin uutisiin päättyen, ransomware-vastaus- ja palautusyritys Coveware julkaisi omansa Quarterly Ransomware Report vuoden 4 neljännelle neljännekselle viime maanantaina. Merkittävin huomio näyttää olevan heidän raporttinsa siitä, että ransomware-maksut ovat laskeneet merkittävästi. Niiden lukumäärän mukaan keskimääräinen kiristysohjelmamaksu laski noin 2020 % vuoden 34 kolmannesta neljänneksestä, 3 2020 dollariin 154,108 233,817 dollarista.[5] Lisäksi neljännellä vuosineljänneksellä suoritettu ransomware-maksun mediaani laski vieläkin enemmän, noin 4 %, 55 49,450 dollariin 110,532 XNUMX dollarista.[6]

 

Ennen tätä uusinta raporttia Coveware oli aiemmin raportoinut keskimääräisten ja mediaanien kiristysohjelmamaksujen tasaisesta kasvusta vuoden 4 viimeisellä neljänneksellä.[7] Coveware selittää äskettäisen laskun osittain luottamuksen heikkenemisen vuoksi, että tietoja suodattavat ransomware-toimijat todella poistavat sen saatuaan lunnaita. Lukuisat esimerkit "poistetuista" tiedoista, joita myydään edelleen mustalla markkinoilla tai joita käytetään organisaation lunnaiden maksamiseen toisen kerran, ovat muuttaneet kiristysohjelmien uhrien riskilaskentaa.

 

Vaikka koko raportti sisältää paljon enemmän tietoa, muutama kiinnostava huomautus kiinnitti huomiomme. Ensinnäkin sähköpostin tietojenkalastelu jatkaa nousuaan hyökkäysvektorina, rikkoen 50 %:n rajan ja ohittaen RDP-kompromissin. Toiseksi noin 70 % kiristyshaittaohjelmien hyökkäyksistä neljännellä vuosineljänneksellä sisälsi uhkan vuotaa suodatettuja tietoja, mikä on 4 prosenttiyksikköä kasvua kolmanteen neljännekseen verrattuna.[8] Lisäksi Coveware raportoi, että pahantahtoiset toimijat menevät niin pitkälle, että "kehittävät tietojen suodattamisen tapauksissa, joissa sitä ei tapahtunut". Huolestuttavinta tietoa saattaa kuitenkin olla Covewaren raportoima nousu "peruuttamattoman tietojen tuhoutumisen esiintyvyyden lisääntymisessä verrattuna vain kohdennettuun varmuuskopioiden tuhoamiseen tai kriittisten järjestelmien salaukseen".[9]

 

Toiminta ja analyysi

**Jäsenyys vaaditaan**

 

 

2. Terveydenhuolto kohtaa ei-perinteisen kyberuhan

Vaikka terveydenhuollon kyberturvallisuus- ja IT-tiimit kohtaavat jo nyt pelottavan haasteen ylläpitää verkkojensa ja tietojensa yksityisyyttä ja turvallisuutta kaikenlaisten perinteisten valtion ja ei-valtiollisten uhkien edessä, heidän taitojensa vuoksi voi olla toinen ei-perinteinen tekninen haaste. voisi olla hyödyllistä.

 

Kiireessä kokonaisten maiden rokottamiseen terveydenhuollon organisaatiot kohtaavat ennennäkemättömän hallinnollisen ja logistisen tehtävän järjestää potilaille aikoja ja pyrkiä mahdollisimman pieniin arvokkaiden rokoteannosten hukkaan. Tämän ponnistelun avuksi monet organisaatiot ovat käyttäneet jonkinlaista online-portaalia tai ajastinta. Yhdysvaltain terveys- ja henkilöstöministeriö (HHS) jopa julkaisi ilmoituksen täytäntöönpanon harkinnanvaraisuudesta Online- tai Web-pohjaiset aikataulusovellukset.[10] Valitettavasti näistä ajoittajista on tullut scalpereiden järjestämien "botti"-hyökkäysten uhri.

 

Reutersin mukaan "Yhdysvaltalaiset vähittäiskauppiaat ja apteekit, kuten Walgreens ja CVS Health, valmistautuvat uuteen "botti"-hyökkäykseen scalpereilta toivoen saavansa aikaiseksi COVID-19-rokoteajan."[11] Vaikka tällainen käytös on tuttua kaikille, jotka yrittävät ostaa rajoitettu määrä tuotteita, kuten uusinta tekniikkaa tai urheilutapahtumalippuja, molemmat olosuhteet luokitellaan helpommin ärsyttäviksi. Samaa ei voida sanoa, jos tällainen käyttäytyminen alkaa merkittävästi vaikuttaa rokotusten käyttöönottoon.

 

Reutersin mukaan "[vi]viime viikkoina ihmiset jakoivat sosiaalisen median verkostoissa kauhutarinoita yrityksistä saada rokotusaikoja hallituksen lähteistä, ja jotkut syyttivät botteja sivuston kaatumisista ja varastetuista paikoista." Sekä Walgreens että CVS ovat ilmoittaneet olevansa tietoisia ongelmasta ja ottaneet käyttöön useita suojakeinoja havaitsemiseksi ja ehkäisemiseksi.

 

Toiminta ja analyysi
**Jäsenyys vaaditaan**

 

 

Kongressi -

 

Tiistaina, helmikuun 9:

– Ei asiaankuuluvia kuulemistilaisuuksia

 

Keskiviikkona 10. helmikuuta:

– Edustajainhuone – Kotimaan turvallisuutta käsittelevä valiokunta: Kotimaan kyberturvallisuus: kyberuhkien arviointi ja kestävyyden kehittäminen

 

 

Torstai 11. helmikuuta:

– Ei asiaankuuluvia kuulemistilaisuuksia

 

 

kansainvälisesti Kuulemiset/kokoukset -

 

– Ei asiaankuuluvia kuulemistilaisuuksia

 

 

EU -

 

– Ei asiaankuuluvia kuulemistilaisuuksia

 

 

 

Sekalaiset -

 

 

 

 

Konferenssit, webinaarit ja huippukokoukset –       

 

 

https://h-isac.org/events/

 

Ota yhteyttä: seuraa @HealthISAC ja lähetä sähköpostia osoitteeseen contact@h-isac.org

 

[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point

[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020

[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf

[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S

  • Aiheeseen liittyviä resursseja ja uutisia