Health-ISAC Hacking Healthcare 6
TLP White: Ovaj tjedan, Hakiranje zdravstva posvećena je skupljanju i analizi vrtloga nedavnih razvoja ransomwarea u javnom i privatnom sektoru. Uz razlaganje onoga što se događalo, navodimo nove smjernice i preporuke i iznosimo svoja razmišljanja o tome kako su ti razvoji bili od pomoći ili nisu od pomoći u rješavanju problema s ransomwareom.
Podsjećamo, ovo je javna verzija bloga Hacking Healthcare. Za dodatnu dubinsku analizu i mišljenje, postanite član H-ISAC-a i primite TLP Amber verziju ovog bloga (dostupnu na Portalu za članove.)
Dobrodošli natrag u Hakiranje zdravstva.
1. Uvod
Ransomware nije imao problema s zadržavanjem u središtu pozornosti jer su se incidenti visokog profila u proteklih nekoliko tjedana neprestano povećavali. Državna tijela i organizacije privatnog sektora trude se riješiti sve strašniju situaciju, a brzina kojom se cjelokupna situacija razvija može olakšati propuštanje kritičnih događaja. Imajući to na umu, posvetili smo ovo izdanje Hakiranje zdravstva do ispitivanja nedavnih razvoja ransomwarea, procjene njihovog utjecaja na privatni sektor i isticanja brojnih preporuka koje bi članovi H-ISAC-a mogli smatrati vrijednima.
Odgovor Vlade
Počinjemo s Bidenovom administracijom. Administracija je kibernetičku sigurnost postavila kao prioritetno područje i nije otkrila nedostatak kritičnih incidenata kibernetičke sigurnosti na koje treba odgovoriti. Unatoč vremenu koje se podudara s napadom ransomwarea Colonial Pipeline, nedavne izvršne naredbe administracije vezane uz cyber o ruskom uplitanju, izazovima u opskrbnom lancu i cybersigurnosti prvenstveno su bile skrojene kao odgovor na prethodne incidente poput SolarWindsa i manje su bile usmjerene izravno na pitanje ransomwarea. . Međutim, u proteklih nekoliko tjedana Bidenova administracija poduzela je brojne korake u rješavanju neumoljivog vala ransomwarea.
Odjel za pravosuđe
Ministarstvo pravosuđa (DOJ) bilo je posebno aktivno u ovom području.
Radna skupina za ransomware: Kao što smo ukratko opisali u ranijem izdanju, interni dopis DOJ-a izdan je krajem travnja u kojem je najavljeno formiranje radne skupine za ransomware. U dopisu se priznaje da ransomware nije samo rastuća gospodarska prijetnja, već i prijetnja zdravlju i sigurnosti američkih građana.[1] Objavljeno je da će ovaj dopis dovesti do poboljšane razmjene obavještajnih podataka u DOJ-u, stvaranja strategije koja cilja na svaki aspekt ekosustava ransomwarea i proaktivnijeg pristupa u cjelini.[2]
Ransomware Elevation: Gore spomenuta strategija i pristup djelomično su otkriveni početkom lipnja kada je objavljeno da su kružile daljnje interne smjernice DOJ-a koje istragama napada ransomwareom daju sličan prioritet kao terorizmu.[3] Ovaj potez zahtijeva da se slučajevi i istrage ransomwarea centralno koordiniraju s radnom skupinom za ransomware u Washingtonu, DC kako bi se osiguralo stvaranje najboljeg mogućeg razumijevanja i operativne slike za različite dionike uključene u incidente ransomwarea.
Povrat otkupnine: Kada je Colonial Pipeline platio traženu otkupninu u Bitcoinima, mnogi su pretpostavili da su počinitelji i novac kao da su nestali. Međutim, operacija pod vodstvom FBI-a uspjela je zaplijeniti 2.3 milijuna dolara u Bitcoinima koji su isplaćeni kao otkupnina.[4] FBI je navodno pratio kretanje sredstava za otkupninu u javno vidljivoj knjizi Bitcoina, a zatim je dobio pristup virtualnom računu na kojem je većina završila.[5]
US CYBERCOM
Izvan DOJ-a, Američko kibernetičko zapovjedništvo (CYBERCOM), čija je misija "Usmjeravanje, sinkronizacija i koordinacija planiranja i operacija kibernetičkog prostora – za obranu i unaprjeđenje nacionalnih interesa – u suradnji s domaćim i međunarodnim partnerima," također ima ulogu u odgovaranje na prijetnje ransomwareom.[6]
Sluh: Na virtualnom saslušanju prošlog petka, general Nakasone, koji ima dvojak šešir kao šef CYBERCOM-a i direktor NSA-e, odbio je potrebu za novim tijelima za praćenje kibernetičkih kriminalnih skupina.[7] Izjavio je kako misli da ima “sve ovlasti koje su mi potrebne da bih mogao obavještajno goniti protiv ovih protivnika izvan Sjedinjenih Država.”[8] Međutim, posebno govoreći o ransomwareu, prenio je da je pravi izazov, i onaj s kojim Bidenova administracija radi, kako podijeliti i koordinirati obavještajne podatke i djelovanje s raznim javnim i privatnim dionicima, a istovremeno odrediti tko preuzima vodstvo u ukupnom nastojanja. [9]
DHS
Smjernice – CISA: Rastuća prijetnja ransomwareom OT imovini: Povećana važnost ransomwarea također je dovela do objavljivanja dodatnih smjernica vlade, uključujući CISA informativni list pod naslovom, Rastuća prijetnja ransomwareom operativnim tehnološkim sredstvima.[10] Dokument od tri stranice daje pregled prijetnji ransomwarea, posebno za OT imovinu, a zatim opisuje radnje koje bi organizacije trebale poduzeti kako bi se pripremile za, ublažile i odgovorile na ransomware.
Razvoj privatnog sektora
Posljednjih tjedana bilo je i nekoliko značajnih razvoja ransomwarea koji se odnose na privatni sektor. Nažalost, ti su razvoji više bili negativni nego pozitivni. Napadi ransomwarea visokog profila i dalje rezultiraju isplatama otkupnina u više milijuna dolara, a Kongres SAD-a vrlo je kritičan prema tome kako je privatni sektor reagirao na incidente.
IST Ransomware Task Force (RTF): RTF, grupa od oko 60 stručnjaka iz javnog i privatnog sektora, objavila je izvješće na 81 stranici koje pruža detaljan i temeljit okvir za borbu protiv ransomwarea.[11] Ovaj bi dokument trebao pomoći u educiranju pojedinaca o nijansama ransomwarea, a istovremeno pružati praktične i djelotvorne političke mjere.
Okupljen od strane Instituta za sigurnost i tehnologiju (IST), RTF uključuje predstavnike velikih tehnoloških tvrtki poput Microsofta i Amazona; organizacije za kibernetičku sigurnost kao što su Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber Threat Alliance i Global Cyber Alliance; i vladine organizacije poput britanskog Nacionalnog centra za kibernetičku sigurnost (NCSC) i američke Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA).
JBS & CNA: JBS, jedan od najvećih prerađivača mesa u Sjedinjenim Državama, nedavno je postao jedan od sljedećih visokoprofilnih incidenata s ransomwareom nakon Colonial Pipelinea. Napad je imao široko rasprostranjen učinak, jer su navodno bile pogođene operacije JBS-a u Australiji, Kanadi i SAD-u.[12] Na kraju je JBS platio otkupninu od otprilike 11 milijuna dolara s namjerom da osigura da počinitelji ne ukradu podatke tvrtke.[13]
Međutim, ta je isplata blijeda u usporedbi s gotovo 40 milijuna dolara koje je osiguravajuća organizacija CNA Financial Corp. navodno isplatila kako bi "povratila kontrolu nad svojom mrežom nakon napada ransomwarea".[14] Iako se čini da se taj napad dogodio u ožujku, pojedinosti o plaćanju otkupnine postale su javne tek krajem svibnja.
Neodobravanje glasova Kongresa: Na saslušanju u Kongresu prošlog tjedna, zakonodavci su opetovano razgovarali s izvršnim direktorom Colonial Pipelinea Josephom Bluntom o načinu na koji su reagirali na njihov incident s ransomwareom. Neki zakonodavci ustvrdili su da je Colonial Pipeline odbio dobrovoljne preglede kibernetičke sigurnosti od strane Uprave za prometnu sigurnost, a zastupnica Bonnie Watson Coleman (D) izjavila je: "Odgađanje ovih procjena toliko dugo znači njihovo odbijanje, gospodine."[15] Drugi su se osporavali zbog odluke plinovoda da se odmah ne obrati DHS-u i CISA-i ili prihvati njihovu pomoć u operacijama oporavka.[16] Nekoliko članova Kongresa otišlo je toliko daleko da je postavilo pitanje jesu li dobrovoljni standardi kibernetičke sigurnosti i pristup kritičnoj infrastrukturi još uvijek održivi.[17]
Akcija i analiza
**Potrebno članstvo**
Kongres -
Utorak, lipanj 15th:
– Nema relevantnih rasprava
Srijeda, lipanj 16th:
– Senat – Odbor za domovinsku sigurnost i vladine poslove: Poslovni sastanak na kojem se razmatraju nominacije Jen Easterly, za ravnateljicu Agencije za kibernetičku sigurnost i sigurnost infrastrukture, Odjel za domovinsku sigurnost, i Chrisa Inglisa, za nacionalnog direktora za kibernetičku tehnologiju.
-Zastupnički dom – Odbor za domovinsku sigurnost: Kibernetičke prijetnje u pripremi: Lekcije iz federalnog odgovora na napad ransomwareom Colonial Pipeline
četvrtak, 17. lipnja:
– Nema relevantnih rasprava
International Saslušanja/sastanci -
– Nema relevantnih sastanaka
EU -
Konferencije, webinari i sastanci na vrhu –
Kontaktirajte nas: pratite @HealthISAC i pošaljite e-poštu na contact@h-isac.org
[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/
[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html
[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj
[6] https://www.cybercom.mil/About/Mission-and-Vision/
[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf
[11] https://securityandtechnology.org/ransomwaretaskforce/
[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack
[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
- Povezani izvori i vijesti