Passer au contenu principal

Santé-Piratage du système de santé par l'ISAC 6/15/2021

TLP White : Cette semaine, Le piratage des soins de santé se consacre à l'agrégation et à l'analyse du tourbillon des développements récents en matière de ransomware dans les secteurs public et privé. En plus de détailler ce qui s'est passé, nous citons de nouvelles orientations et recommandations et donnons notre avis sur la manière dont ces développements ont été utiles ou non pour résoudre le problème des ransomwares.

Pour rappel, il s'agit de la version publique du blog Hacking Healthcare. Pour des analyses et des avis plus approfondis, devenez membre de H-ISAC et recevez la version TLP Amber de ce blog (disponible sur le portail des membres).

 

Bon retour à Le piratage des soins de santé.

 

1. Introduction

Les ransomwares n'ont eu aucun mal à maintenir le devant de la scène alors que les incidents de grande ampleur ont continué à se multiplier au cours des dernières semaines. Les autorités gouvernementales et les organisations du secteur privé s'efforcent de faire face à une situation de plus en plus désastreuse, et la vitesse à laquelle la situation globale évolue peut facilement faire passer à côté d'événements critiques. C'est dans cet esprit que nous avons consacré cette édition de Le piratage des soins de santé pour examiner les développements récents en matière de ransomware, évaluer leur impact sur le secteur privé et mettre en évidence un certain nombre de recommandations que les membres du H-ISAC pourraient trouver utiles.

 

Réponse du gouvernement

 

Commençons par l’administration Biden. Elle a fait de la cybersécurité un domaine prioritaire et n’a pas manqué de réagir aux incidents critiques de cybersécurité. Bien que le moment ait coïncidé avec l’attaque de ransomware de Colonial Pipeline, les récents décrets de l’administration relatifs à l’ingérence russe, aux défis de la chaîne d’approvisionnement et à la cybersécurité ont été conçus principalement comme une réponse à des incidents antérieurs comme SolarWinds et étaient moins axés directement sur la question des ransomwares. Cependant, au cours des dernières semaines, l’administration Biden a pris de nombreuses mesures pour faire face à la vague incessante de ransomwares.

 

Ministère de la Justice

 

Le ministère de la Justice (DOJ) a été particulièrement actif dans ce domaine.

 

Groupe de travail sur les ransomwares:Comme nous l'avons brièvement évoqué dans une édition précédente, une note interne du ministère de la Justice a été publiée fin avril, annonçant la formation d'un groupe de travail sur les ransomwares. La note reconnaît que les ransomwares ne constituent pas seulement une menace économique croissante, mais aussi une menace pour la santé et la sécurité des citoyens américains.[1] Il a été rapporté que ce mémo conduira à un meilleur partage de renseignements au sein du ministère de la Justice, à la création d'une stratégie ciblant chaque aspect de l'écosystème des ransomwares et à une approche globale plus proactive.[2]

 

Élévation des ransomwares:La stratégie et l’approche susmentionnées ont été partiellement dévoilées début juin lorsqu’il a été signalé que de nouvelles directives internes du ministère de la Justice avaient été diffusées, accordant aux enquêtes sur les attaques de ransomware une priorité similaire à celle du terrorisme.[3] Cette mesure exige que les cas et les enquêtes de ransomware soient coordonnés de manière centralisée avec le groupe de travail sur les ransomwares à Washington, DC, afin de garantir que la meilleure compréhension et la meilleure image opérationnelle possibles puissent être créées pour les différentes parties prenantes impliquées dans les incidents de ransomware.

 

Récupération de rançon:Lorsque Colonial Pipeline a payé la rançon demandée en Bitcoin, beaucoup ont pensé que les auteurs et l'argent avaient disparu. Cependant, une opération menée par le FBI a pu saisir 2.3 millions de dollars en Bitcoin versés en guise de rançon.[4] Le FBI aurait suivi le mouvement des fonds de la rançon sur un registre Bitcoin visible publiquement et aurait ensuite eu accès au compte virtuel où la majeure partie de ces fonds a fini par atterrir.[5]

 

CYBERCOM DES ÉTATS-UNIS

 

En dehors du ministère de la Justice, le Cyber ​​Command américain (CYBERCOM), dont la mission est de « diriger, synchroniser et coordonner la planification et les opérations dans le cyberespace – pour défendre et faire progresser les intérêts nationaux – en collaboration avec des partenaires nationaux et internationaux », a également un rôle à jouer dans la réponse aux menaces de ransomware.[6]

 

Audition:Lors d'une audience virtuelle vendredi dernier, le général Nakasone, qui exerce à la fois les fonctions de chef du CYBERCOM et de directeur de la NSA, a refusé d'avoir besoin de nouvelles autorités pour poursuivre les groupes cybercriminels.[7] Il a déclaré qu'il pensait disposer de « toutes les autorités nécessaires pour pouvoir poursuivre en matière de renseignement ces adversaires situés hors des États-Unis ».[8] Cependant, en parlant spécifiquement des ransomwares, il a expliqué que le véritable défi, celui que l'administration Biden est en train de relever, est de savoir comment partager et coordonner les renseignements et les actions avec les différentes parties prenantes publiques et privées tout en déterminant qui prend la tête des efforts globaux. [9]

 

DHS

 

Guide – CISA : Augmentation de la menace des ransomwares pour les actifs OT: L’importance accrue des ransomwares a également conduit à la publication de directives supplémentaires du gouvernement, notamment une fiche d’information de la CISA intitulée, La menace des ransomwares augmente pour les actifs technologiques opérationnels.[10] Le document de trois pages donne un aperçu de la menace des ransomwares, en particulier sur les actifs OT, puis décrit les mesures que les organisations doivent prendre pour se préparer, atténuer et répondre aux ransomwares.

 

Développements du secteur privé

 

Ces dernières semaines, le secteur privé a également connu quelques développements notables en matière de ransomware. Malheureusement, ces développements ont plutôt tendance à être négatifs que positifs. Les attaques de ransomware très médiatisées continuent de donner lieu à des paiements de rançon de plusieurs millions de dollars, et le Congrès américain s'est montré très critique à l'égard de la manière dont le secteur privé a réagi aux incidents.

 

Groupe de travail IST sur les ransomwares (RTF) : Le RTF, un groupe d'environ 60 experts des secteurs public et privé, a publié un rapport de 81 pages qui fournit un cadre détaillé et complet pour lutter contre les ransomwares.[11] Ce document devrait aider à éduquer les individus sur les nuances des ransomwares tout en fournissant des mesures politiques pratiques et réalisables.

 

Réuni par l'Institute for Security and Technology (IST), le RTF comprend des représentants de grandes entreprises technologiques comme Microsoft et Amazon ; d'organisations de cybersécurité comme Rapid7, Palo Alto Networks, la Cybersecurity Coalition, la Cyber ​​Threat Alliance et la Global Cyber ​​Alliance ; et d'organisations gouvernementales comme le National Cyber ​​Security Centre (NCSC) du Royaume-Uni et l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA).

 

 

JBS et CNA : JBS, l'un des plus grands transformateurs de viande aux États-Unis, est récemment devenu l'un des incidents de ransomware les plus médiatisés après Colonial Pipeline. L'attaque a eu des répercussions à grande échelle, car les opérations de JBS en Australie, au Canada et aux États-Unis auraient toutes été touchées.[12] JBS a finalement payé une rançon d'environ 11 millions de dollars dans le but de s'assurer que les auteurs ne volent pas les données de l'entreprise.[13]

 

Cependant, ce paiement n’est rien en comparaison des près de 40 millions de dollars que l’organisme d’assurance CNA Financial Corp. aurait versé pour « reprendre le contrôle de son réseau après une attaque de ransomware ».[14] Bien que cette attaque semble avoir eu lieu en mars, les détails du paiement de la rançon n’ont été rendus publics que fin mai.

 

Le Congrès exprime sa désapprobation : Lors d’une audience au Congrès la semaine dernière, les législateurs ont discuté à plusieurs reprises avec le PDG de Colonial Pipeline, Joseph Blunt, de la manière dont ils ont réagi à leur incident de ransomware. Certains législateurs ont affirmé que les examens volontaires de cybersécurité de la Transportation Security Administration (TSA) ont été refusés par Colonial Pipeline, la représentante Bonnie Watson Coleman (D) déclarant : « Retarder ces évaluations pendant si longtemps revient à les refuser, monsieur. »[15] D'autres ont contesté la décision du pipeline de ne pas contacter immédiatement le DHS et la CISA ou d'accepter leur aide dans les opérations de récupération.[16] Certains membres du Congrès sont même allés jusqu’à se demander si les normes volontaires de cybersécurité et une approche « non-interventionniste » vis-à-vis des infrastructures critiques étaient toujours tenables.[17]

 

Action et analyse
**Adhésion requise**

 

 

Congrès -

 

Mardi, juin 15ème:

– Aucune audience pertinente

 

Mercredi, juin 16th:

– Sénat – Comité de la sécurité intérieure et des affaires gouvernementales : réunion de travail pour examiner les nominations de Jen Easterly, au poste de directrice de l’Agence de cybersécurité et de sécurité des infrastructures, ministère de la Sécurité intérieure, et de Chris Inglis, au poste de directeur national de la cybersécurité.

 

-Chambre des représentants – Comité de la sécurité intérieure : Cybermenaces en cours : leçons de la réponse fédérale à l’attaque par rançongiciel de Colonial Pipeline

 

Jeudi, juin 17th:

– Aucune audience pertinente

 

International Audiences/Réunions -

– Aucune réunion pertinente

 

UE -

 

 

 

Conférences, webinaires et sommets –

 

 

https://h-isac.org/events/

 

Contactez-nous : suivez @HealthISAC et envoyez un e-mail à contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Ressources et actualités connexes