TLP White: 이번 주에는 헬스케어 해킹 공공 및 민간 부문 모두에서 최근 랜섬웨어 개발의 소용돌이를 집계하고 분석하는 데 전념합니다. 무슨 일이 일어났는지 분석하는 것 외에도 새로운 지침과 권장 사항을 인용하고 이러한 개발이 랜섬웨어 문제를 해결하는 데 어떻게 도움이 되었는지 또는 도움이 되지 않았는지에 대한 생각을 제공합니다.
상기시켜드리자면, 이것은 Hacking Healthcare 블로그의 공개 버전입니다. 심층적인 분석과 의견을 더 알아보려면 H-ISAC의 회원이 되어 이 블로그의 TLP Amber 버전을 받으세요(회원 포털에서 이용 가능).
다시에 오신 것을 환영합니다. 헬스케어 해킹.
1. 소개
랜섬웨어는 지난 몇 주 동안 계속해서 중요한 사건이 증가함에 따라 주목을 받는 데 아무런 문제가 없었습니다. 정부 당국과 민간 부문 조직은 점점 더 심각해지는 상황을 해결하기 위해 애쓰고 있으며, 전반적인 상황이 진화하는 속도로 인해 중요한 발전을 놓치기 쉽습니다. 이를 염두에 두고 이번 호를 헬스케어 해킹 최근 랜섬웨어 개발 동향을 조사하고, 이것이 민간 부문에 미치는 영향을 평가하며, H-ISAC 회원들에게 가치 있다고 여겨질 수 있는 몇 가지 권장 사항을 강조합니다.
정부 대응
바이든 행정부부터 시작하겠습니다. 행정부는 사이버 보안을 우선 문제 영역으로 삼았고 대응해야 할 중대한 사이버 보안 사고가 부족하지 않다는 것을 알게 되었습니다. Colonial Pipeline 랜섬웨어 공격과 타이밍이 일치했음에도 불구하고, 러시아의 간섭, 공급망 문제, 사이버 보안에 대한 행정부의 최근 사이버 관련 행정 명령은 주로 SolarWinds와 같은 이전 사고에 대한 대응으로 맞춤화되었으며 랜섬웨어 문제에 직접적으로 초점을 맞추지 않았습니다. 그러나 지난 몇 주 동안 바이든 행정부는 끊임없는 랜섬웨어 물결에 대처하기 위해 여러 가지 조치를 취했습니다.
법무부
특히 법무부는 이 분야에서 활발한 활동을 펼치고 있습니다.
랜섬웨어 태스크 포스: 이전 판에서 간략하게 다루었듯이, 4월 말에 DOJ 내부 메모가 발행되어 랜섬웨어 태스크포스가 구성되었다고 발표했습니다. 이 메모는 랜섬웨어가 증가하는 경제적 위협일 뿐만 아니라 미국 시민의 건강과 안전에 대한 위협이라는 점을 인정했습니다.[1] 이 메모로 인해 DOJ 전체에서 정보 공유가 개선되고, 랜섬웨어 생태계의 모든 측면을 타겟으로 하는 전략이 만들어지고, 전반적으로 더 사전 예방적인 접근 방식이 마련될 것이라고 합니다.[2]
랜섬웨어 상승: 앞서 언급된 전략과 접근 방식은 6월 초에 랜섬웨어 공격에 대한 수사를 테러와 비슷한 우선순위로 한다는 추가적인 DOJ 내부 지침이 배포되었다는 보고가 있었을 때 부분적으로 공개되었습니다.[3] 이러한 조치를 취하기 위해서는 랜섬웨어 사건과 조사를 워싱턴 DC에 있는 랜섬웨어 대책위원회와 중앙에서 조정해야 합니다. 이를 통해 랜섬웨어 사건에 연루된 다양한 이해관계자를 위해 최상의 이해관계와 운영 상황을 파악할 수 있습니다.
몸값 회복: Colonial Pipeline이 몸값으로 비트코인을 지불했을 때, 많은 사람들은 가해자와 돈이 이미 없어졌다고 생각했습니다. 하지만 FBI가 주도한 작전으로 몸값으로 지불된 2.3만 달러 상당의 비트코인을 압수했습니다.[4] FBI는 공개적으로 볼 수 있는 비트코인 원장에서 몸값 자금의 움직임을 추적한 다음 대부분의 몸값이 들어간 가상 계좌에 접근한 것으로 알려졌습니다.[5]
미국 사이버콤
DOJ 외에도 "국내 및 국제 파트너와 협력하여 국가 이익을 방어하고 증진하기 위해 사이버 공간 계획 및 운영을 지시, 동기화 및 조정"하는 것을 임무로 하는 미국 사이버 사령부(CYBERCOM)도 랜섬웨어 위협에 대응하는 역할을 맡고 있습니다.[6]
듣기: 지난 금요일 가상 심리에서 CYBERCOM 사령관과 NSA 국장을 겸임하고 있는 나카소네 장군은 사이버 범죄 집단을 단속하기 위한 새로운 권한이 필요하다는 의견을 거부했습니다.[7] 그는 자신이 "미국 외부의 적대자들을 상대로 정보적으로 기소하는 데 필요한 모든 권한을 갖고 있다"고 생각한다고 말했습니다.[8] 그러나 랜섬웨어에 대해 구체적으로 언급하면서 그는 실제 과제이자 바이든 행정부가 해결하고자 하는 과제는 다양한 공공 및 민간 이해 관계자와 정보와 조치를 공유하고 조정하는 방법이며, 전반적인 노력을 주도할 사람을 결정하는 방법이라고 전했습니다. [9]
미국 국토 안보부
지침 – CISA: OT 자산에 대한 랜섬웨어 위협 증가: 랜섬웨어의 중요성이 커지면서 정부에서도 CISA 사실 정보 시트를 포함한 추가 지침을 발표하게 되었습니다., 운영 기술 자산에 대한 랜섬웨어 위협 증가.[10] 3페이지 분량의 이 문서에서는 랜섬웨어 위협, 특히 OT 자산에 대한 위협에 대한 개요를 제공하고, 조직이 랜섬웨어에 대비하고, 완화하고, 대응하기 위해 취해야 할 조치를 설명합니다.
민간 부문 개발
최근 몇 주 동안 민간 부문과 관련된 몇 가지 주목할 만한 랜섬웨어 개발도 있었습니다. 안타깝게도 이러한 개발은 긍정적이기보다는 부정적인 경향이 있습니다. 유명한 랜섬웨어 공격은 계속해서 수백만 달러의 몸값 지불로 이어지고 있으며, 미국 의회는 민간 부문이 사건에 어떻게 대응했는지에 대해 매우 비판적이었습니다.
IST 랜섬웨어 태스크 포스(RTF): 공공 및 민간 부문의 전문가 60명으로 구성된 RTF는 랜섬웨어에 맞서기 위한 자세하고 철저한 프레임워크를 제공하는 81페이지 분량의 보고서를 발표했습니다.[11] 이 문서는 랜섬웨어의 미묘한 차이점에 대해 개인을 교육하는 데 도움이 되는 동시에 실용적이고 실행 가능한 정책 조치를 제공합니다.
보안 및 기술 연구소(IST)가 구성한 RTF에는 Microsoft, Amazon과 같은 주요 기술 회사, Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber Threat Alliance, Global Cyber Alliance와 같은 사이버 보안 기관, 그리고 영국 국가 사이버 보안 센터(NCSC), 미국 사이버 보안 및 인프라 보안 기관(CISA)과 같은 정부 기관의 대표가 포함됩니다.
JBS 및 CNA: 미국에서 가장 큰 육류 가공업체 중 하나인 JBS는 최근 Colonial Pipeline에 이어 두 번째로 주목받는 랜섬웨어 사건 중 하나가 되었습니다. 이 공격은 광범위한 영향을 미쳤으며, 호주, 캐나다, 미국에서 JBS의 운영이 모두 영향을 받았다고 보고되었습니다.[12] 결국 JBS는 회사 데이터를 훔치지 못하도록 하기 위해 약 11만 달러의 몸값을 지불했습니다.[13]
하지만 그 지불액은 보험 조직 CNA Financial Corp.가 랜섬웨어 공격 후 "네트워크 제어권을 되찾기 위해" 지불했다고 알려진 거의 40만 달러에 비하면 턱없이 적습니다.[14] 해당 공격은 3월에 발생한 것으로 보이지만 몸값 지불에 대한 자세한 내용은 5월 말이 되어서야 공개되었습니다.
의회는 반대 의사를 표명: 지난주 의회 청문회에서 의원들은 랜섬웨어 사건에 대응하는 방식에 대해 Colonial Pipeline CEO인 Joseph Blunt와 반복적으로 접촉했습니다. 일부 의원들은 자발적인 교통안보청 사이버보안 검토가 Colonial Pipeline에 의해 거부되었다고 주장했고, Bonnie Watson Coleman(민주당) 의원은 "이러한 평가를 너무 오랫동안 미루는 것은 거부하는 것과 같습니다, 각하."라고 말했습니다.[15] 일부 사람들은 파이프라인 측이 DHS와 CISA에 즉시 연락하지 않고 회수 작업에 대한 지원을 수락하지 않은 결정에 문제를 제기했습니다.[16] 몇몇 의원들은 자발적인 사이버 보안 기준과 중요 인프라에 대한 "방임적" 접근 방식이 여전히 유지될 수 있는지에 대해 의문을 제기하기까지 했습니다.[17]
액션 & 분석
**회원 가입이 필요합니다**
국회 -
6 월 화요일 15th:
– 관련 청문회 없음
6 월 수요일 16th:
– 상원 – 국토안보 및 정부 업무 위원회: 젠 이스터리를 국토안보부 사이버보안 및 인프라 보안국 국장으로, 크리스 잉글리스를 국가 사이버 책임자로 임명하는 것을 고려하기 위한 업무 회의.
- 하원 - 국토안보위원회: 파이프라인의 사이버 위협: Colonial Pipeline 랜섬웨어 공격에 대한 연방 대응의 교훈
17월 XNUMX일 목요일:
– 관련 청문회 없음
국제 노동자 동맹 청문회/회의 -
– 관련 회의 없음
유럽 연합 -
컨퍼런스, 웨비나 및 정상회담 –
문의처: @HealthISAC을 팔로우하고 contact@h-isac.org로 이메일을 보내주세요.
[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/
[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html
[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj
[6] https://www.cybercom.mil/About/Mission-and-Vision/
[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf
[11] https://securityandtechnology.org/ransomwaretaskforce/
[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack
[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
- 관련 리소스 및 뉴스