Health-ISAC Hacking Healthcare 6-15-2021
TLP White: השבוע, פריצת שירותי בריאות מוקדש לצבירה וניתוח של מערבולת ההתפתחויות האחרונות של תוכנות הכופר הן במגזר הציבורי והן במגזר הפרטי. בנוסף לפירוק מה שקרה, אנו מצטטים הנחיות והמלצות חדשות ומספקים את המחשבות שלנו לגבי האופן שבו התפתחויות אלו הועילו או לא הועילו בטיפול בבעיית תוכנת הכופר.
כזכור, זוהי הגרסה הציבורית של הבלוג Hacking Healthcare. לניתוח מעמיק נוסף וחוות דעת, הפוך לחבר ב-H-ISAC וקבל את גרסת TLP Amber של בלוג זה (זמינה בפורטל החברים).
ברוך הבא חזרה ל פריצת שירותי בריאות.
1. מבוא
תוכנת הכופר לא התקשתה לשמור על אור הזרקורים מכיוון שהתקריות בפרופיל גבוה המשיכו לעלות במהלך השבועות האחרונים. רשויות ממשלתיות וארגונים במגזר הפרטי מתאמצים לטפל במצב החמור שהולך וגובר, והמהירות שבה המצב הכללי מתפתח יכולה להקל על החמצה של התפתחויות קריטיות. עם זאת בחשבון, הקדשנו את המהדורה הזו של פריצת שירותי בריאות לבחינת פיתוחים אחרונים של תוכנות כופר, הערכת השפעתן על המגזר הפרטי והדגשת מספר המלצות שחברי H-ISAC עשויים למצוא בעלות ערך.
תגובת הממשלה
אנחנו מתחילים עם ממשל ביידן. הממשל הפך את אבטחת הסייבר לתחום נושא בראש סדר העדיפויות ולא מצא מחסור באירועי אבטחת סייבר קריטיים להגיב עליהם. למרות התזמון שחפף למתקפת הכופר ה-Colonial Pipeline, פקודות הביצוע האחרונות של הממשל הקשורות לסייבר בנושא התערבות רוסית, אתגרי שרשרת האספקה ואבטחת סייבר הותאמו בעיקר כתגובה לתקריות קודמות כמו SolarWinds והתמקדו פחות בסוגיית תוכנות הכופר. . עם זאת, בשבועות האחרונים ממשל ביידן נקט צעדים רבים לקראת התמודדות עם הגל הבלתי פוסק של תוכנות כופר.
משרד המשפטים
משרד המשפטים (DOJ) היה פעיל במיוחד בתחום זה.
כוח משימה כופר: כפי שסיקרנו בקצרה במהדורה קודמת, מזכר DOJ פנימי הוצא בסוף אפריל שהכריז על הקמת צוות משימה של תוכנות כופר. התזכיר זיהה כי תוכנות כופר הן לא רק איום כלכלי הולך וגובר, אלא גם איום על בריאותם ובטיחותם של אזרחים אמריקאים.[1] דווח כי תזכיר זה יוביל לשיפור שיתוף המודיעין ברחבי DOJ, יצירת אסטרטגיה המכוונת לכל היבט של מערכת האקולוגית של תוכנות הכופר, וגישה פרואקטיבית יותר בסך הכל.[2]
העלאת תוכנת כופר: האסטרטגיה והגישה שהוזכרו לעיל נחשפו חלקית בתחילת יוני כאשר דווח כי הופצו הנחיות נוספות של DOJ אשר נתנו לחקירות של התקפות כופר עדיפות דומה לטרור.[3] המהלך מחייב תיאום מרכזי של מקרים וחקירות של תוכנות כופר עם צוות המשימה של תוכנות הכופר בוושינגטון הבירה על מנת להבטיח שניתן ליצור את ההבנה והתמונה התפעולית הטובה ביותר עבור בעלי העניין השונים המעורבים באירועי כופר.
שחזור כופר: כאשר Colonial Pipeline שילמה את דרישת הכופר בביטקוין, רבים הניחו שהעבריינים והכסף כמעט נעלם. עם זאת, פעולה בראשות ה-FBI הצליחה לתפוס 2.3 מיליון דולר בביטקוין ששולם בכופר.[4] לפי החשד, ה-FBI עקב אחר תנועת כספי הכופר בפנקס ביטקוין גלוי לציבור ולאחר מכן השיג גישה לחשבון הווירטואלי שבו הגיע רובו.[5]
US CYBERCOM
מחוץ ל-DOJ, לפיקוד הסייבר של ארה"ב (CYBERCOM), שמשימתו היא "לכוון, לסנכרן ולתאם תכנון ותפעול של מרחב הסייבר - כדי להגן ולקדם אינטרסים לאומיים - בשיתוף פעולה עם שותפים מקומיים ובינלאומיים", יש תפקיד גם הוא. תגובה לאיומי תוכנות כופר.[6]
שמיעה: בשימוע וירטואלי ביום שישי האחרון, גנרל נקאסונה, בעל כובע כפול כראש CYBERCOM והן כמנהל ה-NSA, סירב להזדקק לרשויות חדשות כדי לרדוף אחרי קבוצות פושעי סייבר.[7] הוא הצהיר כי הוא חושב שיש לו "כל הרשויות שאני צריך כדי להיות מסוגל לתבוע מבחינה מודיעינית נגד היריבים האלה מחוץ לארצות הברית".[8] עם זאת, כשדיבר ספציפית על תוכנות כופר, הוא מסר כי האתגר האמיתי, והאתגר שממשל ביידן עובד דרכו, הוא כיצד לשתף ולתאם מודיעין ופעולה עם מחזיקי עניין ציבוריים ופרטיים שונים תוך קביעה של מי לוקח את ההובלה הכללית. מַאֲמָצִים. [9]
ל-DHS
הנחיות - CISA: Rising Ransomware Threat to OT Assets: החשיבות המוגברת של תוכנות כופר הובילה גם לפרסום הנחיות נוספות מהממשלה, כולל גיליון מידע של CISA שכותרתו, איום עלייה בתוכנת כופר על נכסי טכנולוגיה תפעולית.[10] המסמך בן שלושה עמודים נותן סקירה כללית של איום תוכנת הכופר, במיוחד על נכסי OT, ולאחר מכן מתאר פעולות שארגונים צריכים לנקוט כדי להתכונן, להפחית ולהגיב לתוכנות כופר.
פיתוחים במגזר הפרטי
היו גם כמה פיתוחים בולטים של תוכנות כופר הנוגעות למגזר הפרטי בשבועות האחרונים. למרבה הצער, התפתחויות אלו נטו להיות יותר שליליות מאשר חיוביות. התקפות תוכנות כופר בפרופיל גבוה ממשיכות לגרום לתשלומי כופר של מיליוני דולרים, והקונגרס האמריקני מתח ביקורת רבה על האופן שבו הגיב המגזר הפרטי לתקריות.
כוח המשימה של תוכנת כופר של IST (RTF): ה-RTF, קבוצה של ~60 מומחים מהמגזר הציבורי והפרטי כאחד, פרסמה דוח בן 81 עמודים המספק מסגרת מפורטת ויסודית למאבק בתוכנות כופר.[11] מסמך זה אמור לעזור לחנך אנשים על הניואנסים של תוכנת כופר תוך מתן פעולות מדיניות מעשיות ומעשיות.
ה-RTF, שהוקם על ידי המכון לאבטחה וטכנולוגיה (IST), כולל ייצוג של חברות טכנולוגיה גדולות כמו מיקרוסופט ואמזון; ארגוני אבטחת סייבר כמו Rapid7, Palo Alto Networks, קואליציית אבטחת הסייבר, ברית איומי הסייבר וברית הסייבר העולמית; וארגונים ממשלתיים כמו מרכז אבטחת הסייבר הלאומי של בריטניה (NCSC) וסוכנות אבטחת הסייבר והתשתיות האמריקאית (CISA).
JBS ו-CNA: JBS, אחד ממעבדי הבשר הגדולים בארצות הברית, הפך לאחרונה לאחד מתקריות הכופר המתוקשרות הבאות אחרי Colonial Pipeline. למתקפה היו השפעות נרחבות, שכן לפי הדיווחים פעולות JBS באוסטרליה, קנדה וארה"ב הושפעו.[12] בסופו של דבר JBS שילמה כופר של כ-11 מיליון דולר במטרה להבטיח שהעבריינים לא גנבו את נתוני החברה.[13]
עם זאת, התשלום הזה מחוויר בהשוואה לכמעט 40 מיליון דולר שדיווח ארגון הביטוח CNA Financial Corp.[14] למרות שנראה שהמתקפה התרחשה במרץ, הפרטים על תשלום הכופר התפרסמו רק בסוף מאי.
פסילת קולות הקונגרס: בשימוע בקונגרס בשבוע שעבר, מחוקקים התקשרו שוב ושוב עם מנכ"ל ה-Colonial Pipeline, ג'וזף בלאנט, על הדרך בה הגיבו לאירוע תוכנת הכופר שלהם. כמה מחוקקים טענו שביקורות מרצון של מינהל אבטחת הסייבר נדחו על ידי Colonial Pipeline, כשהנציגה בוני ווטסון קולמן (D) קבעה: "דחיית ההערכות האלה כל כך הרבה מסתכמת בדחייתן, אדוני".[15] אחרים התמודדו עם החלטת הצינור שלא לפנות מיד ל-DHS ו-CISA או לקבל את עזרתם בפעולות התאוששות.[16] כמה חברי קונגרס הרחיקו לכת ושאלו אם תקני אבטחת סייבר מרצון וגישת "ידיים-off" לתשתית קריטית עדיין ברת קיימא.[17]
פעולה וניתוח
**נדרשת חברות**
הקונגרס -
יום שלישי, יוני 15th:
- אין דיונים רלוונטיים
יום רביעי, יוני 16th:
– סנאט – ועדה לביטחון פנים ועניינים ממשלתיים: פגישה עסקית כדי לשקול את המועמדויות של ג'ן איסטרלי, להיות מנהלת הסוכנות לאבטחת סייבר ותשתיות, המחלקה לביטחון המולדת, וכריס אינגליס, להיות מנהל הסייבר הלאומי.
-בית הנבחרים - הוועדה לביטחון המולדת: איומי סייבר בצנרת: לקחים מהתגובה הפדרלית למתקפת הכופר של הצינור הקולוניאלי
יום חמישי, 17 ביוני:
- אין דיונים רלוונטיים
ברמה בינלאומית שימועים/פגישות -
- אין פגישות רלוונטיות
אירופה -
כנסים, סמינרים מקוונים ופסגות -
צור איתנו קשר: עקוב אחר @HealthISAC, ושלח דוא"ל לכתובת contact@h-isac.org
[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/
[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html
[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj
[6] https://www.cybercom.mil/About/Mission-and-Vision/
[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf
[11] https://securityandtechnology.org/ransomwaretaskforce/
[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack
[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
- משאבים וחדשות קשורים