Vai al contenuto principale

H-ISAC Hacking Sanità 7-28-2020

TLP White: Questa settimana, Hacking Healthcare esplora le tendenze del ransomware del 2020, tra cui la preoccupante crescita del ransomware che incorpora l'esfiltrazione dei dati e cosa ciò significa per le organizzazioni sanitarie. Successivamente, esamineremo le accuse che il governo degli Stati Uniti ha mosso contro due hacker cinesi accusati di una campagna informatica decennale e cosa gli Stati Uniti sperano di ottenere dalla divulgazione. Infine, esamineremo il crescente supporto per la difesa informatica attiva in Australia e quali potrebbero essere gli effetti a breve e lungo termine per il settore sanitario.

Come promemoria, questa è la versione pubblica del blog Hacking Healthcare. Per ulteriori analisi approfondite e opinioni, diventa membro di H-ISAC e ricevi la versione TLP Amber di questo blog (disponibile nel Member Portal).

 

Bentornati Hackerare l'assistenza sanitaria.

 

1. L'attacco Blackbaud illustra la tendenza del ransomware.

Sebbene sia venuto alla luce solo nelle ultime settimane, il cyberattacco contro Blackbaud rappresenta un caso di alto profilo che illustra una tendenza allarmante nel ransomware. Blackbaud, uno dei maggiori fornitori di software per l'istruzione al mondo, è stato colpito da un tentativo di attacco ransomware a maggio. Mentre gli aggressori sono stati fermati dal crittografare con successo i file e bloccare Blackbaud fuori dalla propria rete, gli aggressori hanno comunque esfiltrato file sensibili che hanno costretto Blackbaud a pagare un riscatto.[1]

Questo attacco, che ha interessato circa una dozzina di istituti scolastici, è un esempio lampante della crescente tendenza degli attacchi di esfiltrazione e crittografia.[2] Questi tipi di attacchi ransomware mirano a rubare dati e crittografare file e i ricercatori ne hanno notato un aumento dal 2019.[3] I ricercatori di Emsisoft hanno notato che oltre l'11% degli attacchi ransomware di quest'anno includevano un evidente elemento di furto di dati.[4]

Il furto di dati prima di crittografarli viene fatto per diversi motivi, tra cui come leva per garantire che una vittima non ripristini semplicemente da un backup, come risarcimento nel caso in cui la vittima decida di non pagare o come ulteriore mezzo di riscatto chiedendo più soldi per garantire che i dati rubati vengano eliminati. Questo potrebbe spiegare in parte perché pagare una richiesta di riscatto finisce per essere più del doppio più costoso che rifiutarsi di farlo. [5]

Azione e analisi 

** È richiesta l'iscrizione **

 

2. Gli Stati Uniti incriminano due hacker cinesi.

Nell'ultimo importante sviluppo pubblico dello spionaggio informatico estero, il governo degli Stati Uniti ha incriminato due cittadini cinesi per una campagna informatica malevola di lunga durata perpetrata in collaborazione con agenzie governative cinesi e da soli a scopo di lucro. Gli individui, Li Xiaoyu e Dong Jiazhi, sono stati incriminati per 11 capi d'imputazione, tra cui: cospirazione per commettere una frode via cavo, furto d'identità aggravato, frode e abuso informatico: accesso non autorizzato, cospirazione per commettere furto di segreti commercialie cospirazione per accedere senza autorizzazione e danneggiare i computer e minacciare di compromettere la riservatezza delle informazioni.[6]

L'atto d'accusa, desecretato il 7 luglio, accusa i due di aver condotto una campagna decennale di attacchi informatici contro le industrie high-tech in tutto il mondo, tra cui "la cospirazione per rubare segreti commerciali da almeno otto vittime note, che consistevano in progetti tecnologici, processi di produzione, meccanismi e risultati di test, codice sorgente e strutture chimiche farmaceutiche", nonché ricerche sul COVID-19.[7] Riferendosi al caso, il procuratore generale aggiunto per la sicurezza nazionale John C. Demers ha osservato che "la Cina ha ora preso il suo posto, accanto a Russia, Iran e Corea del Nord, in quel vergognoso club di nazioni che forniscono un rifugio sicuro per i criminali informatici in cambio della possibilità per questi ultimi di lavorare per il bene dello Stato..."[8]

Parlando di criminali informatici che lavorano per obiettivi strategici statali, anche la Russia è stata recentemente chiamata in causa per aver preso di mira specificamente la ricerca sul COVID-19. L'interesse russo è probabilmente aumentato poiché le revisioni dei propri dati sul COVID-19 hanno più che triplicato il numero di decessi precedentemente segnalato.[9], [10] Le autorità del Regno Unito, degli Stati Uniti e del Canada hanno segnalato che l'APT29 (Cozy Bear), collegato alla Russia, ha tentato di violare i programmi di ricerca sui vaccini nei rispettivi Paesi.[11] Tuttavia, non sono state ancora emesse nuove incriminazioni nei confronti di nessuno di questi attori.

Azione e analisi 

** È richiesta l'iscrizione **

 

3. IlL'Australia registra un crescente sostegno alla difesa informatica attiva.

Una delle strategie più controverse per gestire le attività informatiche dannose è la difesa informatica attiva (ACD). I sostenitori dell'ACD sottolineano che le organizzazioni devono essere proattive nei loro sforzi per fermare le attività dannose. All'estremo, l'ACD può costituire un permesso legale per le organizzazioni del settore privato di "hackerare" al di fuori della propria rete per fermare le minacce dannose. All'altro estremo dello spettro, l'ACD può essere reso operativo in una capacità limitata dai governi, come il servizio Email Check del Regno Unito che "[aiuta] i proprietari di domini a comprendere e controllare l'abuso della propria posta elettronica".[12] Ovviamente ci sono molte zone grigie e sfumature tra queste posizioni, ma storicamente i governi sono stati restii a scoperchiare il vaso di Pandora consentendo liberamente al settore privato di adottare l'ACD.

Attualmente, sia il governo del Regno Unito che quello degli Stati Uniti utilizzano strategie ACD in una forma o nell'altra, e l'Australia potrebbe presto unirsi a loro. In un panel consultivo del settore recentemente pubblicato per l'Australia Strategia per la sicurezza informatica 2020, diverse raccomandazioni chiedevano una migliore deterrenza, un maggiore coinvolgimento del governo e la possibilità di dare all’Australian Cyber ​​Security Centre la possibilità di “disturbare attivamente i criminali informatici sul Dark Web e di prendere di mira i proventi della criminalità informatica”.[13] Secondo il comitato consultivo, il Regno Unito rappresenta “un modello di buone pratiche da imitare per l’Australia” in materia di ACD.[14]

Per quanto riguarda ciò che potrebbe comprendere, il National Cyber ​​Security Center (NCSC) del Regno Unito vanta attualmente 7 servizi ACD, tra cui Web Check, Logging Made Easy, Protective Domain Name Service, Exercise in a Box, Vulnerability Disclosure, Host Based Capability e il già citato Mail Check.[15] Questi servizi sono generalmente disponibili gratuitamente e, secondo le parole dello stesso NCSC, “[affrontano] gli attacchi informatici in modo relativamente automatizzato e scalabile, per migliorare la resilienza nazionale”.[16] Tuttavia, nonostante il sostegno dell'industria, alcuni dubitano che gli investimenti necessari saranno immediati o che il Dipartimento degli Affari Interni si impegnerà a implementare un programma ACD.

Azione e analisi 

** È richiesta l'iscrizione **

 

Congresso -

 

Martedì, luglio 28th:

– Senato – Commissione per la sicurezza interna e gli affari governativi: Modernizzazione del telelavoro: revisione delle politiche di telelavoro del settore privato durante la pandemia di COVID-19

 

-Senato – Commissione Finanze: Proteggere l’affidabilità della catena di fornitura medica degli Stati Uniti durante la pandemia di COVID-19 Parte I

 

Mercoledì, luglio 29th:

– Nessuna udienza rilevante

 

Giovedì 30 luglio:

– Camera – Commissione per i servizi armati – Sottocommissione per l’intelligence e le minacce e capacità emergenti: udienza: revisione delle raccomandazioni della Commissione per il solarium del cyberspazio

 

-Senato – Commissione Finanze: Proteggere l’affidabilità della catena di fornitura medica degli Stati Uniti durante la pandemia di COVID-19 Parte II

 

 

 

Internazionale Udienze/Riunioni -

 

– Nessuna udienza rilevante

 

 

UNIONE EUROPEA -

 

 

Conferenze, webinar e summit -

— Briefing mensile sulle minacce per i membri dell'H-ISAC – Webinar (7/28/2020)

https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-10/

– Workshop virtuale sulla sicurezza H-ISAC – Virtuale (7/29/2020)

https://h-isac.org/hisacevents/nz-virtual-workshop/

— Briefing mensile sulle minacce per i membri dell'H-ISAC – Webinar (8/25/2020)

https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-11/

–Forum sulla sicurezza informatica sanitaria – Sud-est – Nashville, TN (9/9/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/426517

— ENISA Trust Services Forum – CA Day 2020 – Schloßplatz Berlino, Germania (9/22/2020)

https://h-isac.org/hisacevents/enisa-trust-services-forum-ca-day-2020/

–Healthcare Cybersecurity Forum – Nordest – Boston, MA (9/22/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/427126

–Corso di formazione sulle minacce informatiche H-ISAC – Titusville, FL (9/22/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-titusville-fl/

– Workshop sulla sicurezza H-ISAC – Virtuale (9/23/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-forchheim-germany/

– Summit sulla sicurezza e sui rischi di terze parti – National Harbor, MD (9/28/2020-9/30/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840

–H-ISAC Briefing mensile sulle minacce per i membri – Webinar (9/29/2020)

https://h-isac.org/hisacevents/h-isac-monthly-member-threat-briefing-12/

— La conferenza MedTech – Virtuale (10/5/2020)

https://h-isac.org/hisacevents/the-medtech-conference-toronto/

— Forum sulla sicurezza informatica sanitaria – Houston, TX (10/8/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428840

— Conferenza sulla sicurezza e la privacy NCHICA AMC – Durham, Carolina del Nord (10/21/2020-10/22/2020)

https://h-isac.org/hisacevents/nchica-amc-security-privacy-conference/

— Summit europeo H-ISAC 2020 – Santpoort-Noord, Paesi Bassi (10/20/2020-10/22/2020)

https://h-isac.org/summits/european-2020-summit/

–CYSEC 2020 – Dubrovnik, Croazia (10/27/2020 – 10/28/2020)

https://h-isac.org/hisacevents/cysec-2020-croatia/

– Workshop sulla sicurezza H-ISAC – Mounds View, MN (10/27/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-buffalo-ny/

–Forum sulla sicurezza informatica sanitaria – Pacific Northwest – Seattle, WA (10/28/2020)

https://endeavor.swoogo.com/2020_healthcare_innovation_cybersecurity_forums/428886

– Workshop sulla sicurezza H-ISAC – Seattle, WA – (10/29/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-seattle-wa-2/

–Forum sulla sicurezza informatica sanitaria – California – Los Angeles, CA (11/12/2020)

Forum sulla sicurezza informatica sanitaria – California

– Workshop sulla sicurezza H-ISAC – Parigi, Francia (11/18/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-paris-france/

–Vertice autunnale dell'H-ISAC – Phoenix, Arizona (11/30/2020-12/4/2020)

https://h-isac.org/summits/fall-summit-2020/

— Workshop sulla sicurezza H-ISAC – Praga, Repubblica Ceca (12/8/2020)

https://h-isac.org/hisacevents/h-isac-security-workshop-prague/

 

 

Varie –

 

La CISA si rivolge a esperti di sicurezza con credibilità per proteggere il settore sanitario

https://www.cyberscoop.com/dhs-coronavirus-vaccine-hackers-josh-corman-rob-arnold-beau-woods/

 

I principali rischi del primo semestre del 1: ransomware, dispositivi mobili, infrastrutture sanitarie

https://healthitsecurity.com/news/top-risks-of-1h-2020-ransomware-mobile-health-infrastructure

 

L'attacco Meow in corso ha distrutto 1,800 database senza dire a nessuno il perché

https://arstechnica.com/information-technology/2020/07/more-than-1000-databases-have-been-nuked-by-mystery-meow-attack/

 

 

Contattaci: segui @HealthISAC e scrivi a contact@h-isac.org

[1] https://www.zdnet.com/article/cloud-provider-stopped-ransomware-attack-but-had-to-pay-ransom-demand-anyway/

[2] https://www.zdnet.com/article/cloud-provider-stopped-ransomware-attack-but-had-to-pay-ransom-demand-anyway/

[3] https://www.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf

[4] https://www.zdnet.com/article/ransomware-warning-now-attacks-are-stealing-data-as-well-as-encrypting-it/

[5] https://www.sophos.com/en-us/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf

[6] https://www.documentcloud.org/documents/6999047-Li-Xiaoyu-and-Dong-Jiazhi-indictment.html

[7] https://www.justice.gov/opa/pr/two-chinese-hackers-working-ministry-state-security-charged-global-computer-intrusion

[8] https://www.justice.gov/opa/pr/two-chinese-hackers-working-ministry-state-security-charged-global-computer-intrusion

[9] https://www.cyberscoop.com/coronavirus-vaccine-hacking-cozy-bear-apt29/

[10] https://www.bloomberg.com/news/articles/2020-07-10/russia-more-than-triples-covid-19-death-toll-in-revised-data

[11] https://www.cyberscoop.com/coronavirus-vaccine-hacking-cozy-bear-apt29/

[12] https://www.ncsc.gov.uk/report/active-cyber-defence-report-2019

[13] https://www.homeaffairs.gov.au/cyber-security-subsite/files/2020-cyber-security-strategy-iap-report.pdf

[14] https://www.zdnet.com/article/support-grows-for-an-australian-active-cyber-defence-program/

[15] https://www.ncsc.gov.uk/section/products-services/active-cyber-defence

[16] https://www.ncsc.gov.uk/section/products-services/active-cyber-defence

Newsletter mensile – Agosto 2020
H-ISAC Hacking Sanità 7-21-2020