H-ISAC Hacking Healthcare 2-9-2021
TLP White: Ovaj tjedan, Hakiranje zdravstva počinje s još jednim pogledom na ransomware. Konkretno, analiziramo trendove koji su se pojavili tijekom prošle godine, podatke iz posljednjeg tromjesečja 2020. i što nam oni govore o tome kamo stvari idu te zašto ransomware postaje manje unosan za cyber kriminalce zapravo može biti štetan za zdravstveni sektor. Završavamo razbijanjem netradicionalne kibernetičke 'prijetnje' koja ima potencijal naštetiti uvođenju cijepljenja i zašto do rješenja možda nije tako lako doći.
Podsjećamo, ovo je javna verzija bloga Hacking Healthcare. Za dodatnu dubinsku analizu i mišljenje, postanite član H-ISAC-a i primite TLP Amber verziju ovog bloga (dostupnu na Portalu za članove.)
Dobrodošli natrag u Hakiranje zdravstva.
1. Pregled Ransomwarea za 2020
Čini se kao sigurna oklada da će ransomware i dalje biti pošast u 2021., ali neke novoobjavljene informacije sugeriraju da će nove metode i taktike pomoći da situacija ostane promjenjiva. Brojna nedavna izvješća pomogla su da se razmjeri problema stave u kontekst, a ogroman utjecaj koji je ransomware imao na zdravstveni sektor nije iznenađenje. Postoji nekoliko važnih zaključaka iz ovih podataka, uključujući potencijalno ohrabrujuće vijesti koje sugeriraju da napadi ransomwarea postaju manje unosni za počinitelje. Međutim, naš odjeljak za analizu istražit će zašto to možda nije znak koristi za zdravstveni sektor.
Rekapitulacija
Prvo, idemo na brzinu rezimirati kako stvari stoje. Izazovi s kojima se suočio zdravstveni sektor bili su golemi tijekom prošle godine, a cyber kriminalci sigurno nisu nimalo olakšali suočavanje s COVID-19. VMware Carbon Black izvijestio je o 239.4 milijuna pokušaja kibernetičkih napada samo na vlastite zdravstvene klijente u 2020. godini, što je kulminiralo gotovo nevjerojatnom statistikom da su “zdravstveni subjekti vidjeli 816 napada po krajnjoj točki prošle godine, nevjerojatno povećanje od 9,851 posto u odnosu na 2019. godinu.”[1] Ova informacija dolazi samo nekoliko tjedana nakon što je tvrtka za kibernetičku sigurnost Emsisoft izvijestila da je najmanje 560 zdravstvenih ustanova bilo pogođeno ransomwareom u 2020. godini.[2]
Obeshrabrujuće, čini se da je Cerber najrašireniji ransomware koji je pogodio zdravstveni sektor. Raspirujući 2017., Cerber je znatno opao do 2018., prije nego što je ponovno uzletio prošle godine i činio 58% napada ransomwareom na klijente VMware Carbon Black-a u zdravstvenom sektoru.[3] Dok je Carbon Black primijetio da je Cerber prošao kroz ažuriranja i prilagodbe, neki od uspjeha varijanti u 2020. gotovo su sigurno povezani s nezakrpanim ranjivostima, što još jednom naglašava dodatnu poteškoću kibernetičke sigurnosti u zdravstvenom sektoru.[4]
Pozitivan znak s opasnim potencijalom
Završavajući s potencijalno dobrim vijestima, tvrtka za odgovor na ransomware i oporavak Coveware objavila je svoje Tromjesečno izvješće o ransomwareu za četvrti kvartal 4. prošlog ponedjeljka. Čini se da je najznačajniji zaključak njihovo izvješće da su plaćanja ransomwarea značajno opala. Prema njihovim brojkama, prosječna isplata ransomwarea pala je za otprilike 2020% u odnosu na treće tromjesečje 34., na 3 2020 USD s 154,108 233,817 USD.[5] Osim toga, srednja vrijednost plaćanja ransomwarea u četvrtom tromjesečju zabilježila je još veći pad od otprilike 4%, na 55 49,450 USD sa 110,532 XNUMX USD.[6]
Prije ovog najnovijeg izvješća, Coveware je prethodno izvijestio o stalnom porastu prosječnih i srednjih plaćanja ransomwarea unatrag do četvrtog tromjesečja 4.[7] Coveware nedavni pad djelomično pripisuje eroziji povjerenja da će akteri ransomwarea koji kradu podatke zapravo izbrisati podatke nakon što prime otkupninu. Brojni primjeri "izbrisanih" podataka koji se preprodaju na crnom tržištu ili se koriste da se organizacija zadrži za otkupninu po drugi put, promijenili su računicu rizika za žrtve ransomwarea.
Iako cijelo izvješće sadrži mnogo više informacija, nekoliko zanimljivih bilješki zapelo nam je za oko. Prvo, krađa identiteta putem e-pošte nastavlja svoj uspon kao vektor napada, probijajući granicu od 50% i prestižući RDP kompromis. Drugo, otprilike 70% napada ransomwareom u četvrtom tromjesečju uključivalo je prijetnju curenjem eksfiltriranih podataka, što je povećanje od 4 postotnih bodova u odnosu na treće tromjesečje.[8] Nadalje, Coveware izvješćuje da zlonamjerni akteri idu toliko daleko da "izmišljaju eksfiltraciju podataka u slučajevima kada se to nije dogodilo". Međutim, informacija koja najviše zabrinjava može biti Covewareov porast u “povećanju učestalosti nepovratnog uništavanja podataka za razliku od samo ciljanog uništavanja sigurnosnih kopija ili enkripcije kritičnih sustava”.[9]
Akcija i analiza
**Potrebno članstvo**
2. Zdravstvo se suočava s netradicionalnom kibernetičkom 'prijetnjom'
Dok se timovi za kibernetičku sigurnost i IT u zdravstvenom sektoru već suočavaju sa zastrašujućim izazovom održavanja privatnosti i sigurnosti svojih mreža i podataka u suočavanju sa svim vrstama tradicionalnih državnih i nedržavnih prijetnji, možda postoji još jedan netradicionalni tehnički izazov gdje njihove vještine moglo biti korisno.
U žurbi za cijepljenjem čitavih zemalja, zdravstvene organizacije suočavaju se s dosad neviđenim administrativnim i logističkim zadatkom organiziranja termina za pacijente dok teže za što manjim rasipanjem dragocjenih doza cjepiva. Kako bi pomogle u ovom nastojanju, mnoge organizacije koriste neki oblik mrežnog portala ili planera. Američko ministarstvo zdravstva i socijalnih usluga (HHS) čak je objavilo obavijest o diskrecijskoj ovlasti za provedbu Online ili web aplikacije za planiranje.[10] Nažalost, ovi planeri postali su žrtve napada 'botova' koje su orkestrirali skalperi.
Prema Reutersu, "američki trgovci na malo i ljekarne poput Walgreensa i CVS Healtha pripremaju se za novu rundu napada "botova" od strane skelarista koji se nadaju da će ugrabiti termine za cijepljenje protiv COVID-19."[11] Iako je ovakvo ponašanje poznato svima koji pokušavaju kupiti artikle ograničene količine, poput najnovijih tehnoloških naprava ili ulaznica za sportske događaje, obje te okolnosti lakše je kategorizirati kao smetnju. Isto se ne može reći ako takvo ponašanje počne značajno utjecati na uvođenje cijepljenja.
Prema Reutersu, "[posljednjih tjedana, ljudi su na mrežama društvenih medija dijelili užasne priče o pokušajima da osiguraju termine za cijepljenje iz vladinih izvora, pri čemu su neki okrivljivali robote za padove web-mjesta i ukradene utore." I Walgreens i CVS naznačili su da su svjesni problema i pokrenuli su višestruke obrane za otkrivanje i prevenciju.
Akcija i analiza
**Potrebno članstvo**
Kongres -
Utorak, veljača 9th:
– Nema relevantnih rasprava
Srijeda, veljača 10thth:
– Zastupnički dom – Saslušanje Odbora za domovinsku sigurnost: Domaća kibernetička sigurnost: Procjena kibernetičkih prijetnji i izgradnja otpornosti
Četvrtak, 11. veljače:
– Nema relevantnih rasprava
International Saslušanja/sastanci -
– Nema relevantnih rasprava
EU -
– Nema relevantnih rasprava
Razno –
Konferencije, webinari i sastanci na vrhu –
Kontaktirajte nas: pratite @HealthISAC i pošaljite e-poštu na contact@h-isac.org
[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point
[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020
[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf
[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S
- Povezani izvori i vijesti