Ugrás a tartalomra

Health-ISAC Hacking Healthcare 6

TLP White: Ezen a héten Hacking Healthcare elkötelezett a közelmúltbeli ransomware-fejlesztések forgatagának összesítésével és elemzésével a köz- és a magánszektorban egyaránt. A történtek részletezése mellett új útmutatásokat és ajánlásokat idézünk, valamint elmondjuk a gondolatainkat arról, hogy ezek a fejlesztések hogyan segítettek vagy nem segítettek a zsarolóvírus-probléma kezelésében.

Emlékeztetőül: ez a Hacking Healthcare blog nyilvános verziója. Ha további mélyreható elemzést és véleményt szeretne kapni, legyen a H-ISAC tagja, és megkapja a blog TLP Amber verzióját (elérhető a tagportálon).

 

Üdvözöljük a Hacking Healthcare.

 

1. Bevezetés

A Ransomware-nek nem okozott gondot fenntartani a reflektorfényt, mivel az elmúlt hetekben tovább szaporodtak a nagy horderejű incidensek. A kormányzati hatóságok és a magánszektor szervezetei igyekeznek kezelni az egyre súlyosabb helyzetet, és az általános helyzet alakulásának sebessége megkönnyíti a kritikus fejlemények elmulasztását. Ezt szem előtt tartva dedikáltuk ezt a kiadást Hacking Healthcare megvizsgálni a legutóbbi zsarolóvírus-fejlesztéseket, felmérni a magánszektorra gyakorolt ​​hatásukat, és kiemelni számos olyan ajánlást, amelyeket a H-ISAC tagjai értékesnek találhatnak.

 

Kormányzati válasz

 

Kezdjük a Biden-adminisztrációval. Az adminisztráció a kiberbiztonságot kiemelt kérdéskörré tette, és nem talált hiányt kritikus kiberbiztonsági incidensekben, amelyekre reagálni kell. Annak ellenére, hogy az időzítés egybeesett a Colonial Pipeline ransomware támadással, az adminisztrációnak az orosz beavatkozásra, az ellátási lánc kihívásaira és a kiberbiztonságra vonatkozó, kiberügyekkel kapcsolatos legutóbbi végrehajtási utasításait elsősorban a korábbi incidensekre, például a SolarWindsre való válaszként szabták, és kevésbé összpontosítottak a ransomware problémájára. . Az elmúlt hetekben azonban a Biden-adminisztráció számos lépést tett a ransomware szüntelenül terjedő hullámának kezelése érdekében.

 

Igazságügyi Minisztérium

 

Az Igazságügyi Minisztérium (DOJ) különösen aktív ezen a területen.

 

Ransomware munkacsoport: Amint azt egy korábbi kiadásban röviden ismertettük, április végén egy belső DOJ-memot adtak ki, amely bejelentette egy ransomware munkacsoport megalakulását. A feljegyzés elismerte, hogy a ransomware nemcsak növekvő gazdasági fenyegetést jelent, hanem az amerikai polgárok egészségét és biztonságát is.[1] A jelentések szerint ez a feljegyzés jobb intelligenciamegosztást eredményez a DOJ-ban, egy olyan stratégia létrehozását, amely a ransomware ökoszisztéma minden aspektusát megcélozza, és összességében proaktívabb megközelítést fog elérni.[2]

 

Ransomware Elevation: A fent említett stratégiát és megközelítést részben június elején hozták nyilvánosságra, amikor arról számoltak be, hogy további belső DOJ útmutatást terjesztettek ki, amely a ransomware támadások vizsgálatát a terrorizmushoz hasonló prioritásként kezeli.[3] A lépés megköveteli, hogy a zsarolóprogramokkal kapcsolatos eseteket és vizsgálatokat központilag koordinálják a washingtoni zsarolóprogramokkal foglalkozó munkacsoporttal annak érdekében, hogy a lehető legjobb megértési és működési kép alakulhasson ki a ransomware-incidensekben érintett különböző érdekelt felek számára.

 

Váltságdíj helyreállítása: Amikor a Colonial Pipeline Bitcoinban fizette ki a váltságdíjat, sokan azt feltételezték, hogy az elkövetők és a pénz elfogyott. Az FBI által vezetett művelet azonban 2.3 millió dollárt tudott lefoglalni a váltságdíjban kifizetett Bitcoinban.[4] Az FBI állítólag nyomon követte a váltságdíjalapok mozgását egy nyilvánosan látható Bitcoin főkönyvön, majd hozzáfért ahhoz a virtuális számlához, ahol a legtöbb került.[5]

 

US CYBERCOM

 

A DOJ-n kívül a US Cyber ​​Command (CYBERCOM), amelynek küldetése „a kibertér tervezésének és műveleteinek irányítása, szinkronizálása és koordinálása – a nemzeti érdekek védelme és előmozdítása – a hazai és nemzetközi partnerekkel együttműködésben”, szintén szerepet játszik ransomware fenyegetésekre való reagálás.[6]

 

Hallás: A múlt pénteki virtuális meghallgatáson Nakasone tábornok, aki egyszerre a CYBERCOM vezetője és az NSA igazgatója, elutasította, hogy új hatóságokra legyen szüksége a kiberbűnözői csoportok felkutatására.[7] Kijelentette, hogy úgy gondolja, hogy rendelkezik „minden hatalommal, amelyre szükségem van ahhoz, hogy hírszerzési szempontból vádat tudjak indítani ezekkel az ellenfelekkel szemben az Egyesült Államokon kívül”.[8] Konkrétan a ransomware-ről szólva azonban elmondta, hogy az igazi kihívás, amelyen a Biden-adminisztráció dolgozik, az az, hogy hogyan lehet megosztani és koordinálni a hírszerzési információkat és a cselekvést a különböző állami és magán érdekelt felekkel, miközben meghatározza, hogy általánosságban ki vállalja a vezetést. erőfeszítések. [9]

 

DHS

 

Útmutató – CISA: Növekvő zsarolóvírus-veszély az OT eszközökre: A ransomware megnövekedett jelentősége a kormány további útmutatásainak közzétételéhez is vezetett, köztük egy CISA-adatlapot, Növekvő zsarolóvírus-veszély az operatív technológiai eszközökre.[10] A háromoldalas dokumentum áttekintést ad a zsarolóvírus-fenyegetettségről, különösen az OT-eszközöket illetően, majd felvázolja azokat a lépéseket, amelyeket a szervezeteknek meg kell tenniük a zsarolóvírusok elleni felkészülés, mérséklés és az azokra való reagálás érdekében.

 

Magánszektor fejlesztései

 

Az elmúlt hetekben néhány figyelemre méltó zsarolóvírus-fejlesztés is történt a magánszektorban. Sajnos ezek a fejlemények inkább negatívak, mint pozitívak. A nagy horderejű ransomware támadások továbbra is több millió dolláros váltságdíj kifizetését eredményezik, és az Egyesült Államok Kongresszusa rendkívül kritikusan fogalmazott azzal kapcsolatban, hogy a magánszektor hogyan reagált az incidensekre.

 

IST Ransomware Task Force (RTF): Az RTF, a köz- és a magánszférából egyaránt 60 szakértőből álló csoport egy 81 oldalas jelentést adott ki, amely részletes és alapos keretet ad a ransomware elleni küzdelemhez.[11] Ennek a dokumentumnak segítenie kell az egyéneknek a ransomware árnyalataival kapcsolatos oktatását, miközben gyakorlati és végrehajtható politikai intézkedéseket is kínál.

 

Az Institute for Security and Technology (IST) által összeállított RTF olyan nagy technológiai cégek képviseletét foglalja magában, mint a Microsoft és az Amazon; kiberbiztonsági szervezetek, mint például a Rapid7, a Palo Alto Networks, a Cybersecurity Coalition, a Cyber ​​Threat Alliance és a Global Cyber ​​Alliance; és olyan kormányzati szervezetek, mint az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) és az Egyesült Államok Kiberbiztonsági és Infrastruktúrabiztonsági Ügynöksége (CISA).

 

 

JBS és CNA: A JBS, az Egyesült Államok egyik legnagyobb húsfeldolgozója, a közelmúltban a Colonial Pipeline után az egyik következő nagy horderejű zsarolóvírus-incidens lett. A támadásnak széleskörű hatásai voltak, mivel a jelentések szerint a JBS Ausztráliában, Kanadában és az Egyesült Államokban végzett műveleteit egyaránt érintette.[12] Végül a JBS nagyjából 11 millió dollár váltságdíjat fizetett azzal a szándékkal, hogy az elkövetők ne lopják el a cégadatokat.[13]

 

Ez a kifizetés azonban elhalványul ahhoz a közel 40 millió dollárhoz képest, amelyet a CNA Financial Corp. biztosító szervezet állítólag azért fizetett ki, hogy „egy zsarolóvírus-támadás után visszaszerezze az irányítást hálózata felett”.[14] Bár úgy tűnik, hogy a támadás márciusban történt, a váltságdíj részletei csak május végén váltak nyilvánossá.

 

A Kongresszus elutasító hangjai: A múlt heti kongresszusi meghallgatáson a törvényhozók ismételten kapcsolatba léptek a Colonial Pipeline vezérigazgatójával, Joseph Blunttal a ransomware-incidensükre adott válaszok során. Egyes törvényhozók azt állították, hogy a Közlekedésbiztonsági Igazgatóság önkéntes kiberbiztonsági felülvizsgálatait a Colonial Pipeline elutasította, és Bonnie Watson Coleman (D) kijelentette: „Ha ilyen sokáig halogatjuk ezeket az értékeléseket, az azt jelenti, hogy elutasítják őket, uram.”[15] Mások kifogásolták a csővezeték azon döntését, hogy nem fordultak azonnal a DHS-hez és a CISA-hoz, és nem fogadták el segítségüket a helyreállítási műveletekben.[16] Néhány kongresszusi tag odáig ment, hogy megkérdőjelezte, vajon az önkéntes kiberbiztonsági szabványok és a kritikus infrastruktúrákra vonatkozó „elengedett” megközelítés továbbra is tartható-e.[17]

 

Akció és elemzés
**Tagság szükséges**

 

 

Kongresszus -

 

Június 15th kedd:

– Nincs releváns meghallgatás

 

Szerda, június 16th:

– Szenátus – Belbiztonsági és Kormányzati Ügyek Bizottsága: Üzleti értekezlet Jen Easterly, a Belbiztonsági Minisztérium Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökségének igazgatói posztjára, valamint Chris Inglis nemzeti kiberigazgatói posztra való jelölésére.

 

- Képviselőház – Belbiztonsági Bizottság: Kiberfenyegetések a csővezetékben: A gyarmati csővezeték ransomware-támadására adott szövetségi válasz tanulságai

 

június 17. csütörtök:

– Nincs releváns meghallgatás

 

Nemzetközi Meghallgatások/találkozók -

– Nincsenek releváns találkozók

 

EU -

 

 

 

Konferenciák, webináriumok és csúcstalálkozók –

 

 

https://h-isac.org/events/

 

Lépjen kapcsolatba velünk: kövesse a @HealthISAC címet, és írjon a contact@h-isac.org címre

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Kapcsolódó források és hírek