Skip to main content

Health-ISAC Hacking Healthcare 6-15-2021

TLP White: ამ კვირაში, ჰაკერული ჯანდაცვა ეძღვნება გამოსყიდვის პროგრამების ბოლოდროინდელი განვითარების მორევის გაერთიანებას და ანალიზს როგორც საჯარო, ისე კერძო სექტორში. გარდა იმისა, რომ დავამსხვრევთ იმას, რაც ხდებოდა, ჩვენ მოჰყავთ ახალი სახელმძღვანელო მითითებები და რეკომენდაციები და წარმოგიდგენთ ჩვენს მოსაზრებებს იმის შესახებ, თუ როგორ იყო ეს მოვლენები გამოსადეგი ან არადამახმარებელი გამოსასყიდის პროგრამის პრობლემის გადასაჭრელად.

შეგახსენებთ, ეს არის Hacking Healthcare ბლოგის საჯარო ვერსია. დამატებითი სიღრმისეული ანალიზისა და მოსაზრებისთვის, გახდი H-ISAC-ის წევრი და მიიღეთ ამ ბლოგის TLP Amber ვერსია (ხელმისაწვდომია წევრების პორტალზე).

 

კეთილი იყოს თქვენი მობრძანება ჰაკერული ჯანდაცვა.

 

1. შესავალი

Ransomware-ს არ უჭირდა ყურადღების ცენტრში შენარჩუნება, რადგან გახმაურებული ინციდენტები გაგრძელდა ბოლო რამდენიმე კვირის განმავლობაში. სამთავრობო ხელისუფლება და კერძო სექტორის ორგანიზაციები ცდილობენ გაუმკლავდნენ სულ უფრო მძიმე ვითარებას და საერთო სიტუაციის განვითარების სიჩქარემ შეიძლება გააადვილოს კრიტიკული მოვლენების გამოტოვება. ამის გათვალისწინებით, ჩვენ მივუძღვენით ამ გამოცემას ჰაკერული ჯანდაცვა გამოსასყიდი პროგრამების ბოლოდროინდელი განვითარებების შესასწავლად, კერძო სექტორზე მათი გავლენის შესაფასებლად და რამდენიმე რეკომენდაციის ხაზგასმით, H-ISAC წევრებისთვის შეიძლება ღირებული იყოს.

 

მთავრობის პასუხი

 

ჩვენ ვიწყებთ ბაიდენის ადმინისტრაციით. ადმინისტრაციამ კიბერუსაფრთხოება აქცია პრიორიტეტული საკითხების სფეროდ და არ აღმოაჩინა კიბერუსაფრთხოების კრიტიკული ინციდენტების დეფიციტი, რომლებზეც რეაგირება მოახდინოს. მიუხედავად იმისა, რომ დრო ემთხვეოდა კოლონიური მილსადენის გამოსასყიდ პროგრამის შეტევას, ადმინისტრაციის კიბერთან დაკავშირებული ბოლო ბრძანებები რუსეთის ჩარევის, მიწოდების ჯაჭვის გამოწვევებისა და კიბერუსაფრთხოების შესახებ მორგებული იყო ძირითადად, როგორც პასუხი წინა ინციდენტებზე, როგორიცაა SolarWinds და ნაკლებად იყო ორიენტირებული გამოსასყიდის საკითხზე. . თუმცა, გასული რამდენიმე კვირის განმავლობაში ბაიდენის ადმინისტრაციამ გადადგა მრავალი ნაბიჯი გამოსასყიდის შეუპოვარი ტალღის მოსაგვარებლად.

 

იუსტიციის დეპარტამენტი

 

იუსტიციის დეპარტამენტი (DOJ) განსაკუთრებით აქტიური იყო ამ სფეროში.

 

Ransomware Task Force: როგორც მოკლედ გავაშუქეთ წინა გამოცემაში, აპრილის ბოლოს გამოიცა შინაგან საქმეთა სამინისტროს მემორანდუმი, რომელმაც გამოაცხადა გამოსასყიდი პროგრამის სამუშაო ჯგუფის შექმნა. მემორანდუმი აღიარებდა, რომ გამოსასყიდი პროგრამა არა მხოლოდ მზარდი ეკონომიკური საფრთხე იყო, არამედ საფრთხეც იყო ამერიკის მოქალაქეების ჯანმრთელობისა და უსაფრთხოებისთვის.[1] ცნობილია, რომ ეს მემორანდუმი გამოიწვევს დაზვერვის გაუმჯობესებულ გაზიარებას DOJ-ში, სტრატეგიის შექმნას, რომელიც მიზნად ისახავს გამოსასყიდის პროგრამების ეკოსისტემის ყველა ასპექტს და ზოგადად უფრო პროაქტიულ მიდგომას.[2]

 

Ransomware Elevation: ზემოაღნიშნული სტრატეგია და მიდგომა ნაწილობრივ გამოაქვეყნეს ივნისის დასაწყისში, როდესაც გავრცელდა ინფორმაცია, რომ გავრცელდა DOJ-ის შემდგომი შიდა მითითებები, რომლებიც გამოსასყიდი პროგრამების შეტევების გამოძიებას ტერორიზმის მსგავს პრიორიტეტს ანიჭებდა.[3] ეს ნაბიჯი მოითხოვს გამოსასყიდ პროგრამების შემთხვევებს და გამოძიებებს ცენტრალიზებულად კოორდინირებულ იქნას გამოსასყიდ პროგრამის სამუშაო ჯგუფთან ვაშინგტონში, რათა უზრუნველყოფილი იყოს საუკეთესო შესაძლო გაგებისა და ოპერატიული სურათის შექმნა გამოსასყიდის ინციდენტებში ჩართული სხვადასხვა დაინტერესებული მხარისთვის.

 

გამოსასყიდის აღდგენა: როდესაც Colonial Pipeline-მა გამოსასყიდის მოთხოვნა ბიტკოინში გადაიხადა, ბევრმა ჩათვალა, რომ დამნაშავეები და ფული ისეთივე კარგი იყო, როგორც გაქრა. თუმცა, FBI-ს ხელმძღვანელობით ჩატარებულმა ოპერაციამ შეძლო გამოსასყიდის სახით გადახდილი ბიტკოინის 2.3 მილიონი დოლარის ამოღება.[4] გამოძიების ფედერალური ბიურო, სავარაუდოდ, თვალყურს ადევნებდა გამოსასყიდის სახსრების მოძრაობას ბიტკოინის საჯაროდ ხილულ ჟურნალში და შემდეგ მოიპოვა წვდომა ვირტუალურ ანგარიშზე, სადაც მისი უმეტესი ნაწილი დასრულდა.[5]

 

აშშ კიბერკომი

 

DOJ-ს მიღმა, აშშ-ს კიბერ სარდლობას (CYBERCOM), რომლის მისიაა „მართოს, სინქრონიზაცია და კოორდინაცია გაუწიოს კიბერსივრცის დაგეგმვასა და ოპერაციებს – დაიცვას და წინ წაიწიოს ეროვნული ინტერესები – შიდა და საერთაშორისო პარტნიორებთან თანამშრომლობით“, ასევე აქვს როლი შეასრულოს გამოსასყიდის საფრთხეებზე რეაგირება.[6]

 

მოსმენის: გასულ პარასკევს ვირტუალურ მოსმენაზე, გენერალმა ნაკასონემ, რომელსაც ორმაგად სძულდა როგორც CYBERCOM-ის ხელმძღვანელი და NSA-ის დირექტორი, უარი თქვა ახალი ხელისუფლების საჭიროებაზე კიბერდანაშაულებრივი ჯგუფებისთვის.[7] მან განაცხადა, რომ ფიქრობს, რომ მას აქვს „ყველა უფლებამოსილება, რომელიც მე მჭირდება, რათა შემეძლოს დაზვერვის კუთხით დევნა ამ მოწინააღმდეგეების წინააღმდეგ შეერთებული შტატების ფარგლებს გარეთ“.[8] თუმცა, კონკრეტულად გამოსასყიდ პროგრამებზე საუბრისას, მან თქვა, რომ რეალური გამოწვევა და ის, რაზეც ბაიდენის ადმინისტრაცია მუშაობს, არის ის, თუ როგორ გააზიაროს და კოორდინაცია გაუწიოს დაზვერვას და ქმედებებს სხვადასხვა საჯარო და კერძო დაინტერესებულ მხარეებთან და ასევე განსაზღვროს, თუ ვინ იკავებს ლიდერობას მთლიანობაში. ძალისხმევა. [9]

 

DHS

 

სახელმძღვანელო - CISA: მზარდი Ransomware საფრთხე OT აქტივებისთვის: გამოსასყიდი პროგრამის გაზრდილმა მნიშვნელობამ ასევე განაპირობა მთავრობის დამატებითი მითითებების გამოქვეყნება, მათ შორის CISA ფაქტების ფურცელი სახელწოდებით, მზარდი Ransomware საფრთხე ოპერაციული ტექნოლოგიების აქტივებისთვის.[10] სამგვერდიანი დოკუმენტი იძლევა მიმოხილვას გამოსასყიდი პროგრამის საფრთხის შესახებ, კონკრეტულად OT აქტივების მიმართ და შემდეგ ასახავს მოქმედებებს, რომლებიც ორგანიზაციებმა უნდა განახორციელონ გამოსასყიდის პროგრამისთვის მოსამზადებლად, შესამცირებლად და რეაგირებისთვის.

 

კერძო სექტორის განვითარება

 

ბოლო კვირების განმავლობაში ასევე მოხდა რამდენიმე მნიშვნელოვანი გამოსყიდვის პროგრამა, რომელიც ეხება კერძო სექტორს. სამწუხაროდ, ეს მოვლენები უფრო უარყოფითი იყო, ვიდრე დადებითი. გახმაურებული გამოსასყიდი პროგრამების თავდასხმები კვლავაც იწვევენ მრავალმილიონიანი გამოსასყიდის გადახდას და აშშ-ს კონგრესი ძალიან აკრიტიკებდა, თუ როგორ რეაგირებდა კერძო სექტორი ინციდენტებზე.

 

IST Ransomware Task Force (RTF): RTF-მა, ~ 60 ექსპერტთა ჯგუფმა, როგორც საჯარო, ისე კერძო სექტორიდან, გამოაქვეყნა 81 გვერდიანი ანგარიში, რომელიც უზრუნველყოფს გამოსასყიდ პროგრამასთან ბრძოლის დეტალურ და საფუძვლიან ჩარჩოს.[11] ეს დოკუმენტი უნდა დაეხმაროს ინდივიდების განათლებას გამოსასყიდის პროგრამის ნიუანსების შესახებ და ასევე უზრუნველყოს პრაქტიკული და ქმედითი პოლიტიკის ქმედებები.

 

უსაფრთხოებისა და ტექნოლოგიების ინსტიტუტის (IST) მიერ შეკრებილი RTF მოიცავს წარმომადგენლობას ძირითადი ტექნოლოგიური ფირმებისგან, როგორიცაა Microsoft და Amazon; კიბერუსაფრთხოების ორგანიზაციები, როგორიცაა Rapid7, Palo Alto Networks, კიბერუსაფრთხოების კოალიცია, კიბერ საფრთხეების ალიანსი და გლობალური კიბერ ალიანსი; და სამთავრობო ორგანიზაციები, როგორიცაა გაერთიანებული სამეფოს კიბერუსაფრთხოების ეროვნული ცენტრი (NCSC) და აშშ კიბერუსაფრთხოების და ინფრასტრუქტურის უსაფრთხოების სააგენტო (CISA).

 

 

JBS & CNA: JBS, ერთ-ერთი უმსხვილესი ხორცის გადამამუშავებელი შეერთებულ შტატებში, ახლახან გახდა ერთ-ერთი შემდეგი გახმაურებული გამოსასყიდი ინციდენტი Colonial Pipeline-ის შემდეგ. თავდასხმას ფართო ზემოქმედება ჰქონდა, რადგან JBS-ის ოპერაციები ავსტრალიაში, კანადასა და აშშ-ში გავრცელებული ინფორმაციით დაზარალდნენ.[12] საბოლოოდ JBS-მა გადაიხადა გამოსასყიდი დაახლოებით 11 მილიონი აშშ დოლარი იმ განზრახვით, რომ დამნაშავეებმა არ მოიპარონ კომპანიის მონაცემები.[13]

 

თუმცა, ეს გადახდა შეფერხებულია იმ თითქმის 40 მილიონ დოლართან შედარებით, რომელიც სადაზღვევო ორგანიზაციამ CNA Financial Corp.-მ გადაიხადა, რათა „აღდგენილიყო კონტროლი თავის ქსელზე გამოსასყიდი პროგრამის შეტევის შემდეგ“.[14] მიუხედავად იმისა, რომ ეს თავდასხმა, როგორც ჩანს, მარტში მოხდა, გამოსასყიდის გადახდის დეტალები მხოლოდ მაისის ბოლოს გახდა ცნობილი.

 

კონგრესი ახმოვანებს: გასულ კვირას კონგრესის მოსმენაზე, კანონმდებლები არაერთხელ დაუკავშირდნენ Colonial Pipeline-ის აღმასრულებელ დირექტორს, ჯოზეფ ბლანტს, რათა მათ უპასუხეს გამოსასყიდის ინციდენტზე. ზოგიერთი კანონმდებელი ამტკიცებდა, რომ სატრანსპორტო უსაფრთხოების ადმინისტრაციის კიბერუსაფრთხოების ნებაყოფლობით მიმოხილვაზე უარი თქვა Colonial Pipeline-მა, რეპ. ბონი უოტსონ კოულმანმა (D) განაცხადა: „ამ შეფასებების ამდენი ხნის გადადება ნიშნავს მათ უარყოფას, სერ“.[15] სხვებმა გააპროტესტეს მილსადენის გადაწყვეტილება, დაუყოვნებლივ არ მიემართათ DHS-სა და CISA-სთან ან არ მიეღოთ მათი დახმარება აღდგენის ოპერაციებში.[16] კონგრესის რამდენიმე წევრი წავიდა იქამდე, რომ დაისვა კითხვა, იყო თუ არა ნებაყოფლობითი კიბერუსაფრთხოების სტანდარტები და კრიტიკული ინფრასტრუქტურისადმი „ხელისმოკიდებული“ მიდგომა.[17]

 

მოქმედება და ანალიზი
** აუცილებელია გაწევრიანება **

 

 

კონგრესი -

 

სამშაბათი, ივნისი 15:

- არანაირი შესაბამისი მოსმენა

 

ოთხშაბათს, 16 ივნისს:

– სენატი – საშინაო უსაფრთხოებისა და სამთავრობო საკითხთა კომიტეტი: საქმიანი შეხვედრა განიხილება ჯენ ისტერლის, კიბერუსაფრთხოების და ინფრასტრუქტურის უსაფრთხოების სააგენტოს დირექტორის, შიდა უსაფრთხოების დეპარტამენტის და კრის ინგლისის, კიბერ ეროვნული კიბერ დირექტორის კანდიდატურების განხილვა.

 

-წარმომადგენლობითი პალატა - შიდა უსაფრთხოების კომიტეტი: კიბერ საფრთხეები მილსადენში: გაკვეთილები ფედერალური საპასუხო კოლონიურ მილსადენზე გამოსასყიდის შეტევაზე

 

ხუთშაბათს, 17 ივნისს:

- არანაირი შესაბამისი მოსმენა

 

საერთაშორისო მოსმენები/შეხვედრები -

- არანაირი შესაბამისი შეხვედრები

 

ᲔᲕᲠᲝᲞᲐ -

 

 

 

კონფერენციები, ვებინარები და სამიტები –

 

 

https://h-isac.org/events/

 

დაგვიკავშირდით: მიჰყევით @HealthISAC და ელფოსტაზე contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • დაკავშირებული რესურსები და სიახლეები
Health-ISAC Hacking Healthcare 6-22-2021
Health-ISAC Hacking Healthcare 6-8-2021