Ir ao contido principal

Saúde-ISAC Hacking Healthcare 6-15-2021

TLP White: Esta semana, Hacking Healthcare dedícase a agregar e analizar o remuíño dos recentes desenvolvementos de ransomware no sector público e privado. Ademais de analizar o que pasou, citamos novas orientacións e recomendacións e aportamos as nosas opinións sobre como estes desenvolvementos foron útiles ou pouco útiles para resolver o problema do ransomware.

As a reminder, this is the public version of the Hacking Healthcare blog. Para obter análises e opinións máis profundas, convértete en membro de H-ISAC e recibe a versión TLP Amber deste blog (dispoñible no Portal dos membros).

 

Benvido de novo a Hacking Healthcare.

 

1. Introdución

O ransomware non tivo problemas para manter o foco de atención xa que os incidentes de alto perfil continuaron aumentando nas últimas semanas. As autoridades gobernamentais e as organizacións do sector privado están a loitar para abordar a situación cada vez máis grave, e a velocidade coa que a situación xeral está a evolucionar pode facer que sexa fácil perderse acontecementos críticos. Con isto en mente, dedicamos esta edición de Hacking Healthcare para examinar os desenvolvementos recentes do ransomware, avaliar o seu impacto no sector privado e destacar unha serie de recomendacións que os membros de H-ISAC poden considerar valiosas.

 

Resposta do Goberno

 

Comezamos coa administración Biden. A administración fixo da ciberseguridade unha área prioritaria e non atopou escaseza de incidentes críticos de ciberseguridade aos que responder. A pesar do momento que coincidiu co ataque de ransomware de Colonial Pipeline, as recentes ordes executivas da administración relacionadas coa cibernética sobre a interferencia rusa, os desafíos da cadea de subministración e a ciberseguridade foron adaptadas principalmente como resposta a incidentes anteriores como SolarWinds e estaban menos centradas directamente no tema do ransomware. . Non obstante, nas últimas semanas a administración de Biden tomou numerosos pasos para abordar a implacable onda de ransomware.

 

Departamento de Xustiza

 

O Departamento de Xustiza (DOJ) foi especialmente activo nesta área.

 

Grupo de traballo de ransomware: Como comentamos brevemente nunha edición anterior, a finais de abril publicouse unha nota interna do DOJ que anunciaba a formación dun grupo de traballo sobre ransomware. A nota recoñeceu que o ransomware non era só unha ameaza económica crecente, senón tamén unha ameaza para a saúde e a seguridade dos cidadáns estadounidenses.[1] Informouse de que esta nota levará a unha mellora do intercambio de intelixencia en todo o DOJ, a creación dunha estratexia que teña como obxectivo todos os aspectos do ecosistema de ransomware e un enfoque máis proactivo en xeral.[2]

 

Elevación de ransomware: A estratexia e o enfoque mencionados anteriormente deuse a coñecer parcialmente a principios de xuño cando se informou de que se circulaban máis orientacións internas do DOJ que daban ás investigacións de ataques de ransomware unha prioridade similar á do terrorismo.[3] A medida require que os casos e as investigacións de ransomware se coordinen de forma centralizada co grupo de traballo de ransomware en Washington, DC para garantir que se poida crear a mellor comprensión e imaxe operativa posible para as distintas partes implicadas nos incidentes de ransomware.

 

Recuperación de rescate: Cando Colonial Pipeline pagou a demanda de rescate en Bitcoin, moitos asumiron que os perpetradores e que o diñeiro estaba tan bo como desaparecido. Non obstante, unha operación dirixida polo FBI puido incautar 2.3 millóns de dólares en Bitcoin pagados no rescate.[4] O FBI supostamente seguiu o movemento dos fondos do rescate nun libro de Bitcoin visible publicamente e despois accedeu á conta virtual onde acabou a maior parte.[5]

 

CYBERCOM DE EEUU

 

Fóra do Departamento de Justicia, o Comando Cibernético dos Estados Unidos (CYBERCOM), cuxa misión é "dirixir, sincronizar e coordinar a planificación e as operacións do ciberespazo, para defender e promover os intereses nacionais, en colaboración con socios domésticos e internacionais", tamén ten un papel que desempeñar. responder ás ameazas de ransomware.[6]

 

Audición: Nunha audiencia virtual o venres pasado, o xeneral Nakasone, que é o xefe de CYBERCOM e o director da NSA, rexeitou necesitar novas autoridades para perseguir aos grupos cibercriminales.[7] Afirmou que cre que ten "todas as autoridades que necesito para poder procesar a intelixencia contra estes adversarios fóra dos Estados Unidos".[8] Non obstante, falando específicamente do ransomware, dixo que o verdadeiro desafío, e o que está a traballar a administración de Biden, é como compartir e coordinar a intelixencia e a acción con varias partes interesadas públicas e privadas ao tempo que se determina quen está a tomar o liderado en xeral. esforzos. [9]

 

DHS

 

Orientación - CISA: Rising Ransomware Threat to OT Assets: A elevada importancia do ransomware tamén levou á publicación de orientacións adicionais do goberno, incluíndo unha folla informativa CISA titulada, Crecente ameaza de ransomware para os activos tecnolóxicos operativos.[10] O documento de tres páxinas ofrece unha visión xeral da ameaza do ransomware, en concreto aos activos de OT, e, a continuación, describe as accións que as organizacións deben tomar para prepararse, mitigar e responder ao ransomware.

 

Evolución do sector privado

 

Tamén houbo algúns desenvolvementos notables de ransomware relacionados co sector privado nas últimas semanas. Desafortunadamente, estes desenvolvementos tenden a ser máis negativos que positivos. Os ataques de ransomware de alto perfil seguen dando lugar a pagos de rescate de varios millóns de dólares, e o Congreso dos Estados Unidos foi moi crítico sobre como o sector privado respondeu aos incidentes.

 

IST Ransomware Task Force (RTF): A RTF, un grupo de ~60 expertos do sector público e privado, publicou un informe de 81 páxinas que ofrece un marco detallado e completo para combater o ransomware.[11] Este documento debería axudar a educar ás persoas sobre os matices do ransomware ao tempo que ofrece accións políticas prácticas e accionables.

 

Reunido polo Instituto de Seguridade e Tecnoloxía (IST), a RTF inclúe representación de importantes firmas tecnolóxicas como Microsoft e Amazon; organizacións de ciberseguridade como Rapid7, Palo Alto Networks, a Cybersecurity Coalition, a Cyber ​​Threat Alliance e a Global Cyber ​​Alliance; e organizacións gobernamentais como o Centro Nacional de Seguridade Cibernética do Reino Unido (NCSC) e a Axencia de Seguridade Cibernética e Infraestrutura dos Estados Unidos (CISA).

 

 

JBS e CNA: JBS, un dos maiores procesadores de carne dos Estados Unidos, converteuse recentemente nun dos próximos incidentes de ransomware de alto perfil despois de Colonial Pipeline. O ataque tivo impactos xeneralizados, xa que as operacións de JBS en Australia, Canadá e Estados Unidos víronse todas afectadas.[12] Finalmente, JBS pagou un rescate de aproximadamente 11 millóns de dólares coa intención de garantir que os autores non roubaran os datos da empresa.[13]

 

Non obstante, ese pago palidece en comparación cos case 40 millóns de dólares que supostamente pagou a organización de seguros CNA Financial Corp. para "recuperar o control da súa rede despois dun ataque de ransomware".[14] Aínda que ese ataque parece que ocorreu en marzo, os detalles do pago do rescate só se fixeron públicos a finais de maio.

 

Reprobación das voces do Congreso: Nunha audiencia no Congreso a semana pasada, os lexisladores interactuaron repetidamente co CEO de Colonial Pipeline, Joseph Blunt, na forma en que responderon ao seu incidente de ransomware. Algúns lexisladores afirmaron que Colonial Pipeline rexeitou as revisións voluntarias da Administración de Seguridade do Transporte sobre a ciberseguridade, e a representante Bonnie Watson Coleman (D) afirmou: "Atrasar estas avaliacións durante tanto tempo supón rexeitalas, señor".[15] Outros cuestionaron a decisión do gasoduto de non contactar inmediatamente co DHS e CISA nin aceptar a súa asistencia nas operacións de recuperación.[16] Algúns membros do Congreso chegaron a cuestionar se os estándares voluntarios de ciberseguridade e un enfoque de "desactivación" das infraestruturas críticas aínda eran sostibles.[17]

 

Acción e Análise
**Requírese membro**

 

 

Congreso -

 

Martes, xuño 15th:

- Non hai audiencias pertinentes

 

Mércores 16 de xuño:

– Senado – Comisión de Seguridade Nacional e Asuntos Gobernamentais: Reunión de negocios para considerar os nomeamentos de Jen Easterly, para ser Director da Axencia de Seguridade Cibernética e Infraestrutura, Departamento de Seguridade Nacional, e Chris Inglis, para ser Director Nacional de Ciberseguridade.

 

-Cámara de Representantes - Comité de Seguridade Nacional: Ameazas cibernéticas no Pipeline: Leccións da resposta federal ao ataque de ransomware da canalización colonial

 

Xoves 17 de xuño:

- Non hai audiencias pertinentes

 

internacionalmente Audiencias/Reunións -

– Non hai reunións relevantes

 

UE -

 

 

 

Conferencias, seminarios web e cumios -

 

 

https://h-isac.org/events/

 

Póñase en contacto connosco: siga a @HealthISAC e envíe un correo electrónico a contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Recursos e noticias relacionados