Health-ISAC Hacking Healthcare 6

TLP White: Tällä viikolla Terveydenhuollon hakkerointi on omistautunut kokoamaan ja analysoimaan viimeaikaisten ransomware-kehitysten pyörteitä sekä julkisella että yksityisellä sektorilla. Sen lisäksi, että kerromme, mitä on tapahtunut, lainaamme uusia ohjeita ja suosituksia ja annamme ajatuksiamme siitä, kuinka nämä kehitystyöt ovat olleet hyödyllisiä tai haitallisia lunnasohjelmaongelman ratkaisemisessa.

Muistutuksena, tämä on Hacking Healthcare -blogin julkinen versio. Jos haluat lisäanalyysiä ja mielipiteitä, liity H-ISAC:n jäseneksi ja vastaanota tämän blogin TLP Amber -versio (saatavilla jäsenportaalissa).

Tervetuloa takaisin Terveydenhuollon hakkerointi.

1. Esittely

Ransomwarella ei ole ollut vaikeuksia pysyä valokeilassa, sillä korkean profiilin tapaukset ovat lisääntyneet viime viikkoina. Viranomaiset ja yksityisen sektorin organisaatiot ponnistelevat puuttuakseen yhä pahempaan tilanteeseen, ja yleisen tilanteen kehittymisen nopeus voi helpottaa kriittisten tapahtumien ohittamista. Tätä silmällä pitäen olemme omistaneet tämän painoksen Terveydenhuollon hakkerointi tutkia viimeaikaisia ​​kiristysohjelmien kehitystä, arvioida niiden vaikutuksia yksityiselle sektorille ja korostaa useita suosituksia, joita H-ISACin jäsenet saattavat pitää arvokkaina.

Hallituksen vastaus

Aloitamme Bidenin hallinnosta. Hallinto on nostanut kyberturvallisuuden painopistealueeksi, eikä ole havainnut pulaa kriittisistä kyberturvallisuushäiriöistä, joihin pitäisi reagoida. Huolimatta ajoituksesta, joka osui Colonial Pipeline ransomware -hyökkäykseen, hallinnon viimeaikaiset kyberkäyttöön liittyvät toimeenpanomääräykset Venäjän häirinnästä, toimitusketjun haasteista ja kyberturvallisuudesta räätälöitiin ensisijaisesti vastauksena aikaisempiin tapahtumiin, kuten SolarWinds, ja ne keskittyivät vähemmän suoraan kiristysohjelmiin. . Viime viikkojen aikana Bidenin hallinto on kuitenkin ryhtynyt lukuisiin toimiin torjuakseen hellittämätöntä lunnasohjelmien aaltoa.

Department of Justice

Oikeusministeriö (DOJ) on ollut erityisen aktiivinen tällä alalla.

Ransomware-työryhmä: Kuten kerroimme lyhyesti aikaisemmassa painoksessa, sisäinen DOJ:n muistio julkaistiin huhtikuun lopulla, jossa ilmoitettiin kiristysohjelmien työryhmän muodostamisesta. Muistiossa tunnustettiin, että kiristysohjelmat eivät olleet vain kasvava taloudellinen uhka, vaan myös uhka Yhdysvaltain kansalaisten terveydelle ja turvallisuudelle.[1] On raportoitu, että tämä muistio johtaa parempaan tiedustelutietojen jakamiseen DOJ:n välillä, strategian luomiseen, joka kohdistuu kiristyshaittaohjelmien ekosysteemin kaikkiin osa-alueisiin, ja ennakoivampaan lähestymistapaan.[2]

Ransomware Elevation: Edellä mainittu strategia ja lähestymistapa paljastettiin osittain kesäkuun alussa, kun kerrottiin, että DOJ:n sisäisiä lisäohjeita jaettiin, mikä asetti kiristysohjelmahyökkäysten tutkimukset terrorismiin verrattuna.[3] Muutto edellyttää, että kiristysohjelmatapaukset ja -tutkimukset koordinoidaan keskitetysti Washington DC:n ransomware-työryhmän kanssa, jotta varmistetaan, että kiristysohjelmatapahtumiin osallistuville eri sidosryhmille voidaan luoda paras mahdollinen ymmärrys ja toimintakuva.

Ransom Recovery: Kun Colonial Pipeline maksoi lunnaita Bitcoinissa, monet olettivat tekijöiden ja rahan olevan yhtä hyvin kuin menneet. FBI:n johtama operaatio kuitenkin takavarikoi 2.3 miljoonaa dollaria lunnaina maksettuja Bitcoineja.[4] FBI:n väitetään seuranneen lunnaita koskevien varojen liikkumista julkisesti näkyvässä Bitcoin-reskontrassa ja saanut sitten pääsyn virtuaalitilille, jonne suurin osa niistä päätyi.[5]

US CYBERCOM

DOJ:n ulkopuolella US Cyber ​​Commandilla (CYBERCOM), jonka tehtävänä on "ohjata, synkronoida ja koordinoida kyberavaruuden suunnittelua ja operaatioita – puolustaa ja edistää kansallisia etuja – yhteistyössä kotimaisten ja kansainvälisten kumppaneiden kanssa", on myös tehtävänsä ransomware-uhkiin vastaaminen.[6]

Kuulo: Viime perjantaina järjestetyssä virtuaalisessa kuulemisessa kenraali Nakasone, joka oli sekä CYBERCOMin johtaja että NSA:n johtaja, kieltäytyi tarvitsemasta uusia viranomaisia ​​kyberrikollisryhmien perään.[7] Hän totesi, että hän uskoo, että hänellä on "kaikki tarvittavat viranomaiset voidakseni nostaa syytteen tiedustelutietoisesti näitä vastustajia vastaan ​​Yhdysvaltojen ulkopuolella".[8] Erityisesti lunnasohjelmista puhuttaessa hän kuitenkin kertoi, että todellinen haaste, jonka Bidenin hallinto käy läpi, on se, kuinka jakaa ja koordinoida tiedustelutietoja ja toimia eri julkisten ja yksityisten sidosryhmien kanssa samalla kun päätetään, kuka ottaa johtoaseman kokonaisvaltaisesti. ponnisteluja. [9]

DHS

Ohjeet – CISA: Kasvava kiristysohjelmien uhka OT-omaisuuksille: Kiristysohjelmien kohonnut merkitys on johtanut myös hallituksen lisäohjeiden julkaisemiseen, mukaan lukien CISA-tietolehti nimeltä, Kasvava kiristyshaittojen uhka operatiiviselle teknologiaomaisuudelle.[10] Kolmisivuinen dokumentti antaa yleiskatsauksen kiristyshaittaohjelmien uhista erityisesti OT-omaisuuksissa, ja sen jälkeen hahmotellaan toimia, joita organisaatioiden tulee toteuttaa valmistautuakseen kiristysohjelmiin, lieventääkseen niitä ja vastatakseen niihin.

Yksityisen sektorin kehitys

Viime viikkoina on myös tapahtunut muutamia merkittäviä yksityiselle sektorille liittyviä kiristysohjelmia. Valitettavasti tämä kehitys on ollut pikemminkin negatiivista kuin myönteistä. Korkean profiilin lunnasohjelmahyökkäykset johtavat edelleen useiden miljoonien dollarien lunnaisiin, ja Yhdysvaltain kongressi on suhtautunut erittäin kriittisesti siihen, miten yksityinen sektori on reagoinut tapauksiin.

IST Ransomware Task Force (RTF): RTF, noin 60 asiantuntijan ryhmä sekä julkiselta että yksityiseltä sektorilta, julkaisi 81-sivuisen raportin, joka tarjoaa yksityiskohtaisen ja perusteellisen kehyksen kiristysohjelmien torjuntaan.[11] Tämän asiakirjan pitäisi auttaa ihmisiä kouluttamaan kiristyshaittaohjelmien vivahteita ja samalla tarjota käytännöllisiä ja toteutettavissa olevia poliittisia toimia.

Institute for Security and Technology (IST) kokoama RTF sisältää edustuksen suurilta teknologiayrityksiltä, ​​kuten Microsoftilta ja Amazonilta; kyberturvallisuusorganisaatiot, kuten Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber ​​Threat Alliance ja Global Cyber ​​Alliance; ja valtion organisaatiot, kuten UK National Cyber ​​Security Center (NCSC) ja Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA).

JBS ja CNA: JBS:stä, yhdestä Yhdysvaltojen suurimmista lihanjalostajista, tuli äskettäin yksi seuraavista korkean profiilin kiristyshaittaohjelmista Colonial Pipelinen jälkeen. Hyökkäyksellä oli laajat vaikutukset, sillä kaikki JBS:n toiminnot Australiassa, Kanadassa ja Yhdysvalloissa kärsivät.[12] Lopulta JBS maksoi noin 11 miljoonan dollarin lunnaat varmistaakseen, etteivät tekijät varastaneet yrityksen tietoja.[13]

Tämä maksu kuitenkin kalpea verrattuna lähes 40 miljoonaan dollariin, jonka vakuutusyhtiö CNA Financial Corp. maksoi "saadakseen takaisin verkkonsa hallintaan kiristysohjelmahyökkäyksen jälkeen".[14] Vaikka hyökkäys näyttää tapahtuneen maaliskuussa, lunnaiden maksun yksityiskohdat tulivat julkisiksi vasta toukokuun lopulla.

Kongressin äänet hylkäävät: Kongressin kuulemisessa viime viikolla lainsäätäjät olivat toistuvasti tekemisissä Colonial Pipeline -toimitusjohtajan Joseph Bluntin kanssa tapaa, jolla he reagoivat heidän kiristysohjelmakohtaukseensa. Jotkut lainsäätäjät väittivät, että Colonial Pipeline hylkäsi vapaaehtoiset Transportation Security Administrationin kyberturvallisuusarvioinnit, ja edustaja Bonnie Watson Coleman (D) totesi: "Näiden arviointien viivyttäminen niin pitkään merkitsee niiden hylkäämistä, sir."[15] Toiset kiistivät putkilinjan päätöksen olla ottamatta välittömästi yhteyttä DHS:ään ja CISA:han tai ottaa vastaan ​​heidän apuaan palautustoimissa.[16] Muutamat kongressin jäsenet menivät niin pitkälle, että kyseenalaistivat, olivatko vapaaehtoiset kyberturvallisuusstandardit ja "kädet irti" lähestymistapa kriittiseen infrastruktuuriin edelleen kestäviä.[17]

Toiminta ja analyysi
**Jäsenyys vaaditaan**

Kongressi -

Tiistai, 15. kesäkuuta:

– Ei asiaankuuluvia kuulemistilaisuuksia

Keskiviikko, 16. kesäkuuta:

– Senaatti – Kotimaan turvallisuuden ja hallitusasioiden valiokunta: Yrityskokous, jossa pohditaan Jen Easterlyn nimityksiä Kyberturvallisuus- ja infrastruktuuriturvallisuusviraston johtajaksi, Department of Homeland Security, ja Chris Inglis kansalliseksi kyberjohtajaksi.

– Edustajainhuone – Kotimaan turvallisuuden valiokunta: Kyberuhat käynnissä: liittovaltion vastauksen siirtomaaputken kiristyshaittahyökkäykseen oppia

Torstai 17. kesäkuuta:

– Ei asiaankuuluvia kuulemistilaisuuksia

kansainvälisesti Kuulemiset/kokoukset -

– Ei asiaan liittyviä kokouksia

EU -

Konferenssit, webinaarit ja huippukokoukset –

https://h-isac.org/events/

Ota yhteyttä: seuraa @HealthISAC ja lähetä sähköpostia osoitteeseen contact@h-isac.org

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

• Aiheeseen liittyviä resursseja ja uutisia