Vai al contenuto principale

Salute-ISAC Hacking Healthcare 6-15-2021

TLP Bianco: Questa settimana, Hackerare l'assistenza sanitaria è dedicato all'aggregazione e all'analisi del vortice di recenti sviluppi ransomware sia nel settore pubblico che in quello privato. Oltre a suddividere ciò che è accaduto, citiamo nuove linee guida e raccomandazioni e forniamo le nostre riflessioni su come questi sviluppi siano stati utili o meno nell'affrontare il problema ransomware.

Come promemoria, questa è la versione pubblica del blog Hacking Healthcare. Per ulteriori analisi approfondite e opinioni, diventa membro di H-ISAC e ricevi la versione TLP Amber di questo blog (disponibile nel Member Portal).

 

Bentornati Hackerare l'assistenza sanitaria.

 

1. introduzione

Il ransomware non ha avuto problemi a mantenere la ribalta, mentre incidenti di alto profilo hanno continuato ad aumentare nelle ultime settimane. Le autorità governative e le organizzazioni del settore privato si stanno affrettando ad affrontare la situazione sempre più disastrosa e la velocità con cui la situazione generale si sta evolvendo può rendere facile perdere sviluppi critici. Con questo in mente, abbiamo dedicato questa edizione di Hackerare l'assistenza sanitaria per esaminare i recenti sviluppi del ransomware, valutarne l'impatto sul settore privato ed evidenziare una serie di raccomandazioni che i membri dell'H-ISAC potrebbero trovare utili.

 

Risposta del governo

 

Iniziamo con l'amministrazione Biden. L'amministrazione ha reso la sicurezza informatica un'area prioritaria e non ha trovato carenza di incidenti critici di sicurezza informatica a cui rispondere. Nonostante la coincidenza temporale con l'attacco ransomware Colonial Pipeline, i recenti ordini esecutivi dell'amministrazione relativi alla sicurezza informatica sull'interferenza russa, le sfide della supply chain e la sicurezza informatica sono stati concepiti principalmente come risposta a incidenti precedenti come SolarWinds ed erano meno focalizzati direttamente sulla questione del ransomware. Tuttavia, nelle ultime settimane l'amministrazione Biden ha adottato numerose misure per affrontare l'incessante ondata di ransomware.

 

Dipartimento di Giustizia

 

Il Dipartimento di Giustizia (DOJ) è stato particolarmente attivo in questo ambito.

 

Task Force Ransomware: Come abbiamo brevemente trattato in un'edizione precedente, a fine aprile è stato emesso un promemoria interno del DOJ che annunciava la formazione di una task force sul ransomware. Il promemoria riconosceva che il ransomware non era solo una crescente minaccia economica, ma anche una minaccia per la salute e la sicurezza dei cittadini americani.[1] È stato riferito che questo promemoria porterà a una migliore condivisione di informazioni all'interno del Dipartimento di Giustizia, alla creazione di una strategia che prende di mira ogni aspetto dell'ecosistema ransomware e a un approccio più proattivo in generale.[2]

 

Elevazione del ransomware:La strategia e l'approccio sopra menzionati sono stati svelati in parte all'inizio di giugno, quando è stato segnalato che erano state diffuse ulteriori linee guida interne del Dipartimento di Giustizia, che davano alle indagini sugli attacchi ransomware una priorità simile a quella sul terrorismo.[3] Questa iniziativa richiede che i casi e le indagini sul ransomware siano coordinati centralmente con la task force anti-ransomware di Washington, DC, per garantire che venga creata la migliore comprensione e il quadro operativo migliori possibili per le varie parti interessate coinvolte negli incidenti ransomware.

 

Recupero del riscatto: Quando Colonial Pipeline pagò la richiesta di riscatto in Bitcoin, molti diedero per scontato che i colpevoli e il denaro fossero ormai andati. Tuttavia, un'operazione guidata dall'FBI fu in grado di sequestrare 2.3 milioni di dollari in Bitcoin pagati come riscatto.[4] L'FBI avrebbe tracciato il movimento dei fondi del riscatto su un registro Bitcoin visibile al pubblico e poi avrebbe ottenuto l'accesso al conto virtuale in cui era finita la maggior parte del denaro.[5]

 

CYBERCOM DEGLI STATI UNITI

 

Al di fuori del Dipartimento di Giustizia, anche lo US Cyber ​​Command (CYBERCOM), la cui missione è “Dirigere, sincronizzare e coordinare la pianificazione e le operazioni del cyberspazio, per difendere e promuovere gli interessi nazionali, in collaborazione con partner nazionali e internazionali”, ha un ruolo da svolgere nella risposta alle minacce ransomware.[6]

 

udito:In un'udienza virtuale tenutasi venerdì scorso, il generale Nakasone, che ricopre sia la carica di capo del CYBERCOM sia quella di direttore della NSA, ha rifiutato di richiedere l'istituzione di nuove autorità per perseguire i gruppi di criminali informatici.[7] Ha dichiarato di pensare di avere "tutte le autorità necessarie per poter perseguire penalmente questi avversari al di fuori degli Stati Uniti tramite l'intelligence".[8] Tuttavia, parlando specificamente del ransomware, ha affermato che la vera sfida, quella che l'amministrazione Biden sta affrontando, è come condividere e coordinare informazioni e azioni con i vari stakeholder pubblici e privati, determinando al contempo chi sta prendendo la guida degli sforzi complessivi. [9]

 

DHS

 

Guida – CISA: Crescente minaccia ransomware per le risorse OT: L'importanza crescente del ransomware ha portato anche alla pubblicazione di ulteriori linee guida da parte del governo, tra cui una scheda informativa CISA intitolata, Crescente minaccia ransomware per le risorse tecnologiche operative.[10] Il documento di tre pagine fornisce una panoramica della minaccia ransomware, in particolare per le risorse OT, e poi delinea le azioni che le organizzazioni dovrebbero intraprendere per prepararsi, mitigare e rispondere al ransomware.

 

Sviluppi del settore privato

 

Ci sono stati anche alcuni sviluppi degni di nota di ransomware riguardanti il ​​settore privato nelle ultime settimane. Sfortunatamente, questi sviluppi hanno teso a essere più negativi che positivi. Gli attacchi ransomware di alto profilo continuano a comportare pagamenti di riscatto multimilionari e il Congresso degli Stati Uniti è stato molto critico sul modo in cui il settore privato ha risposto agli incidenti.

 

Task Force ransomware IST (RTF): L'RTF, un gruppo di circa 60 esperti provenienti sia dal settore pubblico che da quello privato, ha pubblicato un rapporto di 81 pagine che fornisce un quadro dettagliato e approfondito per combattere il ransomware.[11] Questo documento dovrebbe aiutare a informare le persone sulle sfumature del ransomware, fornendo al contempo misure politiche pratiche e attuabili.

 

Riunito dall'Institute for Security and Technology (IST), l'RTF comprende rappresentanti di importanti aziende tecnologiche come Microsoft e Amazon; organizzazioni per la sicurezza informatica come Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber ​​Threat Alliance e Global Cyber ​​Alliance; e organizzazioni governative come il National Cyber ​​Security Centre (NCSC) del Regno Unito e la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti.

 

 

JBS e CNA: JBS, uno dei più grandi trasformatori di carne negli Stati Uniti, è recentemente diventato uno dei prossimi incidenti ransomware di alto profilo dopo Colonial Pipeline. L'attacco ha avuto impatti diffusi, poiché le operazioni JBS in Australia, Canada e Stati Uniti sono state tutte segnalate come colpite.[12] Alla fine la JBS pagò un riscatto di circa 11 milioni di dollari con l'intento di garantire che i colpevoli non rubassero i dati aziendali.[13]

 

Tuttavia, tale pagamento impallidisce in confronto ai quasi 40 milioni di dollari che l'organizzazione assicurativa CNA Financial Corp. avrebbe pagato per "riprendere il controllo della propria rete dopo un attacco ransomware".[14] Sebbene l'attacco sembri essere avvenuto a marzo, i dettagli del pagamento del riscatto sono stati resi pubblici solo a fine maggio.

 

Il Congresso esprime disapprovazione: In un'udienza del Congresso la scorsa settimana, i legislatori si sono ripetutamente confrontati con il CEO di Colonial Pipeline Joseph Blunt sul modo in cui hanno risposto al loro incidente ransomware. Alcuni legislatori hanno affermato che le revisioni volontarie della sicurezza informatica della Transportation Security Administration sono state rifiutate da Colonial Pipeline, con la deputata Bonnie Watson Coleman (D) che ha affermato: "Ritardare queste valutazioni per così tanto tempo equivale a rifiutarle, signore".[15] Altri hanno contestato la decisione dell'oleodotto di non contattare immediatamente il DHS e la CISA o di accettare la loro assistenza nelle operazioni di recupero.[16] Alcuni membri del Congresso sono arrivati ​​al punto di chiedersi se gli standard volontari di sicurezza informatica e un approccio “non interventista” alle infrastrutture critiche fossero ancora sostenibili.[17]

 

Azione e analisi
**È richiesta l'iscrizione**

 

 

Congresso -

 

Martedì, Giugno 15th:

– Nessuna udienza rilevante

 

Mercoledì, giugno 16th:

– Senato – Commissione per la sicurezza interna e gli affari governativi: riunione di lavoro per valutare le candidature di Jen Easterly a Direttore della Cybersecurity and Infrastructure Security Agency, Dipartimento della sicurezza interna, e di Chris Inglis a Direttore nazionale per la sicurezza informatica.

 

-Camera dei rappresentanti – Commissione per la sicurezza interna: Minacce informatiche in arrivo: lezioni dalla risposta federale all’attacco ransomware Colonial Pipeline

 

Giovedì, giugno 17th:

– Nessuna udienza rilevante

 

Internazionale Udienze/Riunioni -

– Nessuna riunione rilevante

 

UNIONE EUROPEA -

 

 

 

Conferenze, webinar e summit –

 

 

https://h-isac.org/events/

 

Contattaci: segui @HealthISAC e scrivi a contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Risorse e notizie correlate