Wiessel Haaptberäich

Post Thema: Gefor Intelligenz

Gesondheet-ISAC Gesondheetssektor Häerzschlag – 3. Quartal 2025

schrëftlech vun Julia Annaloro on . Gepost an Ressourcen & Neiegkeeten, Gefor Intelligenz, keen, White Papers.

Health-ISAC Heartbeat liwwert Observatioune vu Ransomware, Cyberkriminalitéitstrends a Forumpostings vu béiswëllege Akteuren, déi potenziell Auswierkunge op Organisatiounen am Gesondheetssecteur kéinte hunn. Dëst Produkt ass fir Situatiounsbewosstsinn geduecht.

Themen:

  • Ransomware-Attacken am Gesondheetssecteur
  • Analyse vun globale Evenementer
  • Gezielte Warnungstrends
  • Aktivitéit an den ënnerierdesche Foren
  • Profiler vu Bedrohungsakteuren a Mitigatioune
  • Zousätzlech Recommandatiounen

 

 

Secteuriwwergräifend Mitigatiounen: Verstreet Spann

schrëftlech vun Julia Annaloro on . Gepost an Special Updates, Gefor Intelligenz.

Richtlinne fir proaktiv Verteidegung

Produzéiert vu Financial Services ISAC, Information Technology ISAC, Food and Agriculture ISAC, Health ISAC, Aviation ISAC, Automotive ISAC, Retail and Hospitality ISAC, the Maritime Transportation System ISAC, Electricity ISAC, and the National Council of ISACs, mat Bäiträg vu Partner aus dem Privatsecteur am Communications ISAC.

Download

Text Versioun:

Analyse vun der Bedrohung vu verstreete Spinnen

Introduktioun

Membere vum National Council of ISACs (NCI) schätzen mat héijer Vertraue, datt d'Grupp vun de Bedrohungsakteuren Scattered Spider eng reell Bedrohung duerstellt, an datt hir Fäegkeet, mënschlech Schwachstelle duerch Social Engineering auszenotzen, d'Grupp zu engem bedeitende Risiko fir Organisatiounen mécht.

Dës Analyse detailléiert d'Aktivitéit vu Scattered Spider baséiert op sengem observéierten Handelsgeschäft iwwer verschidde Secteuren am Mee 2025 a liwwert:

🔹 Hannergrond iwwer Scattered Spider, fir datt Firmen hir Bedrohungsfläch besser ofschätze kënnen

🔹 Technesch Prozeduren a kulturell Praktiken fir Attacke vu verstreeten Spinnen ze verhënnere

🔹 Analyse vu Memberen vum Information Sharing and Analysis Center (ISAC) an FBI-Geheimdéngschter an entspriechend MITRE ATT&CK® Reduktiounen

Déi recommandéiert Moossnamen hunn sech géint Scattered Spider a vergläichbar Bedrohungsakteuren als effektiv erwisen, laut Expertenbeurteilung vum Geheimdéngscht. D'Mitigatiounsmoossnamen enthalen d'Basisbedürfnisser vun der FS-ISAC. Cyber-Grondlagen, ofgestëmmt op Scattered Spider TTPs (Taktiken, Techniken a Prozeduren) baséiert op bekannte Bedrohungen.

Wéi och ëmmer, Bedrohungsakteure wéi Scattered Spider innovéieren stänneg, dofir mussen Organisatiounen hir Prozesser an Identitéiten dauernd iwwerwaachen, fir no neien Exploiten ze sichen.

Dës Erkenntnisser goufen zesumme vun den ISACs aus de Beräicher Finanzservicer, Informatiounstechnologie, Liewensmëttel a Landwirtschaft, Gesondheet, Loftfaart, Automobilindustrie, Detailhandel a Gastronomie, a Maritim Transportsystemer, an dem NCI erstallt. Den NCI besteet aus 28 Organisatiounen an ass entwéckelt fir den Informatiounsfloss iwwer kritesch Infrastrukturen am private Secteur a Regierungsagenturen ze maximéieren.

Hannergrond an TTPs

Scattered Spider ass eng finanziell – anstatt ideologesch – motivéiert Grupp vu jonken onofhängege Betreiber a Groussbritannien, den USA a Kanada. Laut Fuerscher ass Scattered Spider Deel vun enger méi grousser Hacking-Gemeinschaft, bekannt als The Community oder The Com, déi sech iwwer Online-Plattformen organiséiert, dorënner Discord- an Telegram-Gruppenchats. Scattered Spider benotzt héicheffektiv Social Engineering-Techniken a Klau vu Referenzdaten, fir Zougang zu Zilnetzwierker ze kréien, a monetariséiert dann seng Attacken duerch Dateklau, Erpressung oder Affiliate-Ransomware-Operatiounen. D'Grupp ass bekannt fir hir extensiv Erkundung, déi Personas identifizéiert, déi adoptéiert solle ginn, oder Mataarbechter, déi gezielt solle ginn. E groussen Deel vum Erfolleg vu Scattered Spider gëtt senger Geschwindegkeet an dem einfache, adaptablen Targeting zougeschriwwen.

*****

Sidebar:

D'Akteuren vun der Bedroung maachen dacks mat bei Uriff an Telefonkonferenzen zur Sanéierung an der Äntwert op Incidenter, wahrscheinlech fir ze identifizéieren, wéi Sécherheetséquipen se verfollegen an proaktiv nei Weeër fir Abroch als Äntwert op d'Verteidegung vun den Affer z'entwéckelen. Dëst gëtt heiansdo erreecht andeems nei Identitéiten an der Ëmwelt geschaf ginn an dacks mat gefälschte Profiler op de soziale Medien ënnerstëtzt ginn, fir nei geschaf Identitéiten ze schützen. Cybersécherheetsberodung: Verstreet Spann – eng gemeinsam Berodung vum Federal Bureau of Investigation (FBI) an der Cybersecurity and Infrastructure Security Agency (CISA)

*****

Scattered Spider, deen zënter Ufank 2022 aktiv ass, gouf ufanks observéiert, wéi en op Telekommunikatiouns- an Business Process Outsourcing (BPO) Entitéite gezielt huet, wahrscheinlech als Sprangbriet fir Social Engineering Operatiounen, fir onerlaabten Zougang zu aneren Ziler an hiren Akteuren ze kréien. Zënterhier gouf d'Grupp mat iwwer 100 Attacken a verschiddene Maartbranchen a Verbindung bruecht, awer tendéiert dozou, ee Secteur gläichzäiteg unzegräifen. Scattered Spider ass bekannt fir d'Kompromissatioun vu Caesars Entertainment an MGM Resorts am Joer 2023 an den Ugrëff op Twilio am Joer 2022, deen zu enger Supply Chain Attack gefouert huet, déi d'Signal Messaging App betraff huet. Am Abrëll a Mee 2025 huet en US-amerikanesch an britesch Händler gezielt, ier en säi Fokus op de Finanzsecteur, besonnesch Versécherungsgesellschaften, an den Aviatiounssecteur, verlagert huet.

  1. Éischten Zougang kritt iwwer:

    >Attacken op sozialer Ingenieurswiesen

    >MFA-Middegkeetsattacken

  2. Erfaasst Administrateurrechter duerch:

    • Umeldungsinformatioun Dumping
    • Gespäichert Umeldungsinformatiounen a Geheimnisser

 

3. Persistenz kritt duerch:

>Geplangte Aufgaben

>Béiswëlleg Servicer

>Erstelle vun lokalen Benotzer

>Cloud Persistenzmechanismen

 

4. Verteidegungsëmwandlung erméiglecht duerch:

>AV/EDR deaktivéieren

>Windows GPOs änneren

>Defender, Logging oder Telemetrie deaktivéieren

>EDR-Treiber ewechhuelen

5. Lateral Bewegung iwwer:

>PsExec

>PowerShell Fernbedienung

>WMI

>Legitimat VPN- oder Citrix-Verbindungen

 

Eng typesch Taktik ass et, IT-Helpdesk-Agenten ze iwwerzeegen, Selbstbedienungs-Passwuert-Reset-Services (SSPRs) fir gezielt Konten duerchzeféieren. D'Technike vu Scattered Spider enthalen d'Benotzung vun Kuerzmeldungsservice (SMS) Messagen — z.B. SMSen — a Voice Phishing (Smishing a Vishing) fir Umeldungsinformatioune fir Single Sign-On (SSO) Dashboards, Microsoft Office 365/Azure, VPNs an Edge-Geräter ze kréien.

D'Grupp ass och bekannt dofir, d'Multifaktor-Authentifikatioun (MFA) iwwer den Austausch vun engem SIM-Subscriber (Subscriber Identity Module) ze kapéieren. Dann besiegt se MFA duerch Notifikatiounsmiddegkeet oder iwwerzeegt Helpdesk-Agenten, d'MFA-Method vun de gezielte Konten zréckzesetzen.

Nodeems se de Kont vun engem Benotzer erfollegräich kompromittéiert hunn, registréiere Scattered Spider-Agenten aner Apparater ënnert dem Kont. Wann et Administratorrechter kritt, erstellt et vun den Ugräifer kontrolléierte Konten an der Ëmwelt vum Affer. Dann etabléiert den Akteur eng Persistenz fir onerlaabten Zougang zu der Ëmwelt vum Affer a baut Redundanz an, fir Versich ze verhënneren, Malware oder Zougang ze läschen.

Déi spéider Erkundungsaktivitéite bestinn aus dem Versuch, Firmenplattformen z'entdecken – dorënner Windows, Linux, Google Workspace, Microsoft Entra ID (fréier Azure Active Directory), Microsoft 365, AWS an aner Tools, déi an der Cloud-Infrastruktur gehost ginn – an et geet weider, andeems een déi entspriechend Tools erofluet, fir sensibel Donnéeën ze extrahéieren.

*****

Sidebar:

Health-ISAC huet Informatiounen kritt, déi den Amadey Botnet mat Scattered Spider Attacken a Verbindung bréngen. Den Amadey Botnet gouf vu Ransomware-Akteuren wéi BlackSuit, BlackBasta an Akira benotzt, fir Malware-Loader an d'Netzwierker vun den Affer ze schécken. De Botnet huet sech géint Malware-as-a-Service (MaaS) Plattforme vun der Police ëmgekämpft, soudatt en sech zënter 2018 weiderentwéckelt huet.

*****

Dëst déift Verständnis vun der nativer Infrastruktur vum Affer erméiglecht et Scattered Spider, béiswëlleg Folgeaktivitéiten auszeféieren. Duerch dëst déift Verständnis – z.B. seng Fäegkeet, "Liewen vun der Äerd"-Techniken auszeféieren – kann d'Grupp Standard-Detektiounsmethoden ëmgoen. D'Bedrohungsgrupp kann och Malware benotzen, déi béiswëlleg signéiert Treiber läschen, déi entwéckelt goufen, fir Prozesser ze beenden, déi mat Sécherheetssoftware verbonne sinn, a Dateien ze läschen.

Scattered Spider benotzt kierzlech registréiert an héich iwwerzeegend Phishing-Domainnimm, déi legitim Login-Portaler imitéieren, besonnesch Okta-Authentifikatiounssäiten. Dës Domainen hunn eng kuerz Liewensdauer oder Uptime, wat d'Detektioun schwéier mécht.

Zënter 2023 gouf Scattered Spider mat fënnef verschiddene Phishing-Kits observéiert, well d'Deploymentstrategien vun der Grupp sech entwéckelt hunn, fir och dynamesch DNS-Ubidder anzebannen. Zousätzlech huet d'Grupp den Spectre Remote Access Trojan (RAT) an hir Attackkette integréiert, fir Malware op kompromittéierte Systemer ze deployéieren, fir persistenten Zougang ze kréien. Dës Malware enthält Mechanismen fir Ferndesinstallatioun a Brokering vu Verbindungen zu zousätzleche Kommando- a Kontrollserveren (C2), wat drop hiweist, datt d'Grupp d'C2-Infrastruktur benotze kéint, fir Post-Exploitatiounsaktiounen op den Netzwierker vun den Affer duerchzeféieren.

*****

Sidebar:

Bekannt Domain Nimm, déi vun der Scattered Spider benotzt ginn

  • targetsname-sso[.]com
  • targetsname-servicedesk[.]com
  • Zilname-okta[.]com
  • Zilname-cms[.]com
  • targetsname-helpdesk[.]com
  • oktalogin-targetcompany[.]com

Verstreet Spann Cybersecurity Advisory gemeinsam produzéiert vum FBI, CISA, Royal Canadian Mounted Police, dem Australian Cyber Security Centre vun der Australian Signals Directorate, der Australian Federal Police, dem Canadian Centre for Cyber Security an dem National Cyber Security Centre vum Vereenegte Kinnekräich.

*****

Recommandatiounen

Déi folgend Empfehlungen hunn sech fir ISAC-Memberen als effektiv erwisen. Vill stamen aus dem FS-ISAC sengem Cyber-Grondlagen, e risikobaséierten, déifgräifenden Usaz vun de Basis-Cybersécherheetsbedierfnesser, déi fir Organisatiounen op all Niveau vu Cyberreifheet uwendbar sinn.

Benotzt e Multi-Channel Verifizéierungsprozess — Keng Organisatioun soll sech op een eenzege Kommunikatiounskanal verloossen fir Passwierderännerungen oder Ufroen fir MFA-Reset vun hire Mataarbechter. Verschidde Firmen kéinten dovun profitéieren, eng virbestëmmt Lëscht vu Froen ze benotzen, déi nëmmen de Mataarbechter beäntwerte kéint, fir Passwierder an MFA-Reset ze initiéieren. An IT-Mataarbechter sollten sech ëmmer ermächtegt fillen, d'Verifizéierungsufro vun all anere Mataarbechter ze contestéieren.

Aktioun Schrëtt:

  • D'IT-Ofdeelung soll Multikanal-Verifizéierung benotzen, dorënner:
  • Iwwerpréiwung vun Ufroen, déi per E-Mail, SMS oder Telefon gemaach goufen, mat engem Réckruff op eng virregistréiert an bekannt gutt Telefonsnummer.
  • Statesch PINs op engem physesche Badge
  • Visuell Validatioun
  • Benotzt e mëndlecht Passwuert, dat nëmme Mataarbechter kennen, oder eng Rei vun Äntwerten op Froen, déi net einfach ze roden sinn, z.B.: "Wéi ass de Meederchersnumm vun Ärer Mamm? Wéini war Ären Ufanksdatum vun der Beschäftegung? Wéi ass den Asset-Label vun Ärem Aarbechtslaptop?"

Verlaangt datt zwee Mataarbechter bestëmmten Zorte vun Ufroen approuvéieren - wéi grouss Finanztransferten - oder Ufroen vu Mataarbechter mat héije Privilegien.

  • Kontaktéiert de Manager vum Mataarbechter, wann de Mataarbechter e Reset vu senge Login- an MFA-Aschreiwungen ufrot..
  • Fërdert eng Kultur, an där vun den IT-Mataarbechter erwaart a berechtegt ass, all ongewéinlech oder héichsensibel Ufroen, och vu Manager, ze beäntwerten, ouni Angscht virun Konsequenzen.

 

Fokus op Taktike vun der sozialer Ingenieurskonscht — Scattered Spider baséiert op Social Engineering Exploits a benotzt Phishing, Vishing a Smishing ganz kreativ. D'Bedrohungsgrupp vermëttelt dacks e Gefill vun Dringlechkeet an hire Verlockungen a profitéiert vun den Ängscht, Empathie a Respekt virun Autoritéit vun den Affer. Integréiert dës TTPs a Simulatiounen a test d'Reaktioune vun de Mataarbechter drop.

Aktioun Schrëtt:
  • Implementéiert lafend, obligatoresch Sécherheetsbewosstsinnstrainingen a Phishing-Simulatiounen mat üblechen a aktuellen Loker.
  • Upasst d'Ausbildung un d'Roll - IT-Helpdesk, Clientsservice-Mataarbechter, HR-Mataarbechter a Manager aus der C-Suite kënnen eng méi detailléiert a spezifesch Ausbildung iwwer Taktike vun de Bedrohungsakteuren an aktuell Kampagnen brauchen.
  • Trainéiert de Clientsservice-Mataarbechter iwwer d'Prozedure vum Helpdesk. Zum Beispill, bestätegt datt hiren Helpdesk ni e Mataarbechter freet, eng Fernhëllefssoftware z'installéieren oder Sécherheetskontrollen ze ëmgoen.
  • Benotzt déi niddregst Privilegien, sou datt Mataarbechter, virun allem Clientsservicevertrieder, eng zousätzlech Verifizéierung vum Endbenotzer verlaangen, ier se méi groussen Zougang ubidden.

 

Iwwerpréift d'Social-Media-Profiler vun Administrateuren, besonnesch Cloud-Administrateuren D'Profiler a Posts vun den Administrateuren op de soziale Medien kënnen ongewollt beruffsbezunnen Informatiounen - z.B. Verantwortung, Beruffsgeschicht, Kollegen, deeglech Routine - weisen, déi d'Bedrohungsakteuren benotze fir Attacken unzepassen (z.B. Reespläng ze notzen fir Glafwierdegkeet oder Dringlechkeet an enger Vishing-Kampagne ze etabléieren). Cloud-Administrateuren si besonnesch Ziler. D'Erhale vun hiren Zougangsrechter géif de Bedrohungsakteuren Zougang zu a Kontroll iwwer wäertvoll Cloud-Ressourcen ginn an d'Méiglechkeet, wäit verbreeten Schued ze verursaachen. Firmen sollten d'Politike fir sozial Medien aféieren, déi d'Informatioun beschreiwen, déi d'Bedrohungsakteuren ausnotzen, an esou Informatiounen a Posts op de soziale Medien verbidden. Iwwerpréift regelméisseg d'Sozial Medien vun den Administrateuren - besonnesch d'Posts vun de Cloud-Administrateuren - fir festzestellen, ob se mat der Politik fir sozial Medien iwwereneestëmmen.

Aktioun Schrëtt:
  • Entwéckelt a setzt detailléiert, zougangsspezifesch Politiken fir sozial Medien duerch, déi erklären, wéi eng Zorte vun Informatiounen gepost däerfen - a wéi eng net.
  • Auditen duerchféieren fir d'Konformitéit ze garantéieren.
  • Bitt Ausbildung iwwer d'Risike vum Deele vu sensiblen berufflechen Donnéeën un.

 

Zouganksrechter fir den Helpdesk evaluéieren - Helpdesk-Rechter kënne mat der Zäit verschwannen, heiansdo ginn et Privilegien fir all Admin-Konsolen, wéi z. B. Mail-Floss, Sécherheetskontrollen, etc. D'Auditéiere vun den Helpdesk-Zougangsrechter garantéiert d'Upassung un d'operativ Bedierfnesser, wärend gläichzäiteg onerlaabten Zougang verhënnert gëtt, deen duerch Bedrohungsakteuren wéi Scattered Spider ausgenotzt kéint ginn. Automatiséiert Managementsystemer verbesseren d'Iwwerwaachung.

Aktioun Schrëtt:
  • Automatiséiert Systemer fir d'kontinuéierlech Iwwerwaachung an d'Upassung vun Zougangsrechter implementéieren.
  • Plan reegelméisseg Zougangsiwwerpréifungen fir d'Iwwereneestëmmung mat den Aarbechtsfunktiounen ze garantéieren.

Virtuell Maschinnen a Cloud-Ëmfeld iwwerwaachen – Implementéiert Iwwerwaachungsinstrumenter fir Alarmer iwwer onerlaabt Aktivitéite vu virtuelle Maschinnen (VM) wéi verdächteg Servicer, anormal Ressourcennotzung a Versich vun der Privilegieselatioun ze ginn, mat Protokoller fir verdächteg VMs séier ze isoléieren an auszeschalten. Dës séier Reaktiounsfäegkeet ass entscheedend fir verdächteg Aktivitéiten z'identifizéieren, potenziell Datenlecke ze vermeiden a Geforen ze reduzéieren.

Aktioun Schrëtt:
  • Erstellt eng Lëscht vun erlaabten Aktivitéiten.
  • Implementéiert Iwwerwaachungs- an Alarmsystemer a sicht no Lücken dran.
  • Etabléiert Schnellreaktiounsprotokoller fir onerlaabt Aktivitéiten.
  • Eliminéiert onnéideg RMM-Tools an integréiert Honeytokens ronderëm d'Benotzung vun RMM-Tools fir fréi Detektioun an Fangerofdrockdefinitioun.
  • Browser an Aufgaben esou konfiguréieren, datt permanent Cookien reegelméisseg geläscht ginn.
  • Miniméiert d'Dauer vun engem Webcookie - Scattered Spider benotzt se fir e persistenten Zougang an Datenexfiltratioun ze etabléieren.

 

Sécherheetskontrollen vun der virtueller Desktop-Infrastruktur iwwerpréiwen - Sécherstellen, datt virtuell Desktop-Infrastruktur (VDI) Ëmfeld mat MFA geséchert sinn, an d'Benotzeraktivitéite kontinuéierlech iwwerwaachen.

Aktioun Schrëtt:
  • Iwwerpréift d'Lëscht vun de VDI-Benotzer fir sécherzestellen, datt se aktuell ass.
  • MFA duerchsetzen.
  • Erlaabt keen direkten Zougang zu Office 365, Enterprise Google Workspace, Firmen-VPNs, etc. op perséinlechen Apparater.
  • Phishing-resistente MFA erfuerderen, wéi YubiKeys, Windows Hello for Business, etc. Vertraut net de Benotzer, datt si MFA-Ufroen approuvéieren oder Coden erausginn.
  • Wann eng Organisatioun VDI huet, fir Zougang vun Drëttpersounen ze erméiglechen, gitt sécher, datt dës VDIen net op Secure Shells (SSH) oder Remote Desk Protokoller (RDP) zougräife kënnen, oder Websäiten erreechen kënnen, déi de Benotzer net néideg sinn, fir seng Aarbecht auszeféieren.
  • Féiert reegelméisseg Audits a Echtzäit-Iwwerwaachung vun alle Benotzersessiounen duerch.
  • Bestätegt datt keng MFA per SMS an iergendenger Applikatioun, och net vun Ubidderapplikatiounen, verfügbar sinn. SMS-baséiert MFA kann bedeitend Risiken mat sech bréngen, well:
      • SMS-Messagen kënnen ofgefaange ginn, well se net verschlësselt sinn
      • Attacker kënnen MFA duerch Social Engineering ëmgoen
      • Bedrohungsakteure kënnen d'Kontroll iwwer eng Telefonsnummer kréien, SMS-Messagen oflauschteren an onerlaabten Zougang iwwer SIM-Swap kréien.
      • Ausfäll kënnen dozou féieren, datt Benotzer keng Authentifikatiounscoden kréien

 

Zougangspunkten identifizéieren a Risikozougäng blockéieren – Vill Organisatiounen mussen hire Mataarbechter, Reguléierungsagenturen, Drëttubidder an aneren Zougang zu hiren digitalen Infrastrukturen erméiglechen. All Zougangspunkten – besonnesch déi mat héijem Risiko – mat Kontrollen oder Blockaden schützen, an dovun ausgoen, datt all Managed Service Provider kompromittéiert sinn.

Aktioun Schrëtt:
  • Gitt kengem Drëttpersoun onbehënnerten Zougang zu engem Firmennetz.
  • Ersatz vu Site-to-Site VPNs duerch VDIs, déi phishing-resistente MFA a Null-Vertrauen benotzen, wou et méiglech ass.
  • Nei erstallt Domainen identifizéieren a blockéieren, déi potenziell Phishing-Säiten schéngen (z.B. Typosquatting Domain Nimm).
  • Blockéiert all RAT-ausführbar Dateien dovun, op verwalteten Apparater auszeféieren.
  • Blockéiert d'Websäite vun alle bekannte kommerziellen Fernhëllefstools.
  • Implementéiert geografesch Blockéierung wou et méiglech ass.
  • Blockéiert kommerziell VPNs, déi sech mam Firmen-VPN oder VDI verbannen, mat engem Service wéi ip2proxy oder Spur.
  • Blockéiert Apparattypen um VPN, wa se net vum Clientsservice benotzt ginn. (Géigner hunn dacks Android Apparat x86 benotzt.)

 

Auditgenehmigungen, déi dem Personalamt zougestane goufen - Eng strikt Upassung vun den HR-Berechtigungen un déi operationell Ufuerderungen schützt sensibel Mataarbechter- a Finanzdaten.

Aktioun Schrëtt:
  • Féiert eng ëmfaassend Audit vun den Zougangsberechtigungen am HR duerch.
  • Iwwerpréift d'Zougangsrechter vun den Ubidder a Fournisseuren.
  • HR-Mataarbechter iwwer Cybersécherheetsrisiken an de richtege Veraarbechtung vun Daten informéieren.

 

Utilities fir d'Beweegung vun Daten an der Fuerschung an SaaS-Applikatiounen - D'Iwwerwaachung an d'Verfollegung vun Datenbeweegungen an SaaS (Software-as-a-Service) Systemer (z.B. Salesforce oder ServiceNow) ass entscheedend, well SaaS Applikatiounen dacks (Drëtt-Partei) Datenbeweegungsprogrammer fir verschidden Zwecker hunn a sensibel Informatioune enthalen kënnen.

Aktioun Schrëtt:
  • Integréiert d'Iwwerwaachung vun Datenbeweegungs-Utility-Protokolldaten.
  • Automatesch Alarmer a Kontrollen fir ongewéinlech Datenaktivitéit opsetzen.

 

Iwwerpréift vertrauenswierdeg IP-Adressen, déi vun der MFA befreit sinn - Organisatioune kënnen d'MFA-Strengheet bei Ufroen vun engem vertrauenswürdege Netzwierk, wéi engem VPN, engem Büronetzwierk usw., reduzéieren. D'Minimiséierung vun dësen MFA-Ausname stäerkt d'Netzwierkzougangskontrollen, e wichtege Schrëtt fir d'Sécherung vu finanziellen a sensiblen Donnéeën.

Aktioun Schrëtt:
  • D'Lëscht vun den vertrauenswürdege IP-Adressen an der Ëmwelt nei evaluéieren an aktualiséieren.
  • Ersatz vun der statescher IP-Whitelisting duerch dynamesch Richtlinne fir bedingten Zougang.

 

Erkennt d'Insider-Gefor, déi vu Clientsservice-Vertrieder ausgestallt gëtt — Scattered Spider kritt dacks den éischten Zougang zu Geschäftssystemer andeems en de Clientsservice-Mataarbechter täuscht – awer et rekrutéiert se och. Scannt reegelméisseg no potenziell béiswëllegen Aktivitéiten.

Aktioun Schrëtt:
  • Iwwerpréift d'Aktivitéit vun de Clientsservice-Mataarbechter op Zeeche vu potenziellen Kompromësser, wéi zum Beispill:
    • Eng héich Zuel vu Passwuert-Reset-ups oder Kont-Usiichten an enger kuerzer Zäit
    • Zougang zu Clientkonten ouni d'Verifizéierungsschrëtt ze verifizéieren (z.B. d'Aginn vun der Client-PIN, d'Vergläiche mat der ANI, etc.)
    • „Jongléiere mat Umeldungsinformatiounen“, dat heescht, sech bei engem VPN mat anere Umeldungsinformatiounen wéi deenen, déi fir den Zougang zu CSR-Tools benotzt ginn, anzeloggen
  • Sicht an Chat-/E-Mail-Support-Textprotokoller no Rekrutéierungsversich andeems Dir String-Sich benotzt, déi op üblech Begrëffer verweisen, déi a Bewerbungen benotzt ginn, wéi "Telegram", "Wickr" oder "Get rich".
  • Implementéiert zäitgebonnenen Zougang fir Clientsservice-Mataarbechter fir Umeldungsinformatiounen a VPN, a alarméiert iwwer all Umeldungen ausserhalb vun den normalen Aarbechtszäiten vun den Agenten.

 

Taktiken a Mitigatiounen vun de verstreeten Spinnen

Déi folgend Tabelle enthält d'Analyse vun den Informatioune vun den ISAC-Cybersécherheetsexperten, déi vun Dausende vu Memberorganisatiounen gedeelt goufen. Vill vun den Taktike goufe vum FBI während den Ermëttlungen iwwer Scattered Spider entdeckt, déi am gemeinsame beschriwwe sinn. Cybersécherheetsberodung vu CISA an FBI Scattered SpiderD'MITRE ATT&CK-Mitigatiounsmoossname baséieren op der Analyse vun den TTPs, baséiert op den Observatioune vun der Organisatioun aus der Praxis.

AM PDF UEWEN KUCKT.

 

 

Gesondheets-ISAC 2025 Cyberbedrohungslandschaft vum Gesondheetssecteur – elo op Portugisesch

schrëftlech vun Julia Annaloro on . Gepost an An der News, Special Updates, Gefor Intelligenz, White Papers.

Aktualiséiert 30.

eng tradução em português deste relatório foi adicionada abaixo.
(Eng portugisesch Iwwersetzung vun dësem Rapport ass hei ënnendrënner bäigefüügt ginn)

 

Joresrapport Bedrohung - 2025

2024 war en Erausfuerderung Joer an der Cybersécherheet fir Gesondheetssektorsystemer weltwäit.

De Gesondheets-ISAC 2025 Gesondheetssektor Cyber ​​Threat Landscape beliicht eng weider Eskalatioun vu Cyberattacken. Schlësselbefunde enthalen e Stroum vu Ransomware Attacken, mat ëmmer méi raffinéiert Techniken, déi vu Bedrohungsakteuren agestallt ginn.

De Bericht betount och déi wuessend Bedrohung vun Nationalstaat Akteuren a Cyberspionage, zielt op sensibel Patientdaten an intellektuell Propriétéit. Ausserdeem huet den Opstig vun Internet of Medical Things (IoMT) Apparater nei Schwachstelle agefouert, während déi evoluéierend Bedrohungslandschaft eng kontinuéierlech Adaptatioun vu Sécherheetsmoossnamen fir Gesondheetssektororganisatiounen weltwäit erfuerdert.

Ëmfaasst déi folgend, plus Schlëssel Abléck aus den Ëmfrodaten gezunn:
  • Top Fënnef Cyber ​​Bedrohungen Gesondheetssektor Organisatiounen konfrontéiert am Joer 2024
  • Top Fënnef Cyber ​​Bedrohungen Gesondheetssektor Organisatiounen kucken am Joer 2025
  • Top Dräi Erausfuerderunge Medical Device Manufacturers gemellt bei der Entwécklung vu séchere medizineschen Apparater
  • Top Dräi Impakt op Gesondheetsversuergungsorganisatiounen

Gesondheet ISAC 2025 Joresrapport Bedrohung
Gréisst: 7.1 MB Format: PDF

Relatório Anual de Ameaças - 2025

2024 foi um ano desafiador em termos de segurança cibernética para sistemas do setor de saúde em todo o mundo.

anorama de Ameaças Cibernéticas OP do Setor de Saúde do Health-ISAC 2025 destaca uma escalada contínua de ataques cibernéticos. Als Principais Conclusões incluem um aumento nos ataques de ransomware, com técnicas cada vez mais sofisticadas empregadas por agentes de ameaças.

O relatório também enfatiza a crescente ameaça de agentes estatais-nação e da ciberespionagem, visando e da ciberespionagem, visando dados sensíveis de pacientes e propriedade intellectual. Além disso, o surgimento de dispositivos de Internet das Coisas Médicas (IoMT) introduziu novas vulnerabilidades, enquanto o cenário de ameaças em evolução exige an adaptação contínua de medidas de segurança para organização de saúdo do setor.

Entdeckt d'Sécherheet, d'Além vun Abléck wichteg Extraidos do Dos d'pesquisa:

  • As cinco principais ameaças cibernéticas enfrentadas pelas organizações do setor da saúde em 2024
  • As cinco principais ameaças cibernéticas que as organizações do setor da saúde estão enfrentando em 2025
  • Os três principais desafios relatados pelos fabricantes de dispositivos médicos no desenvolvimento de dispositivos médicos seguros
  • Os três principais impactos nas organizações de prestação de serviços de saúde

 

Gesondheet ISAC Setor De Saúde 2025 Panorama De Ameaças Cibernéticas
Gréisst: 2.6 MB Format: PDF

Dem DeepSeek säi Sécherheetsrisiko ass eng kritesch Erënnerung fir CIOs

schrëftlech vun Julia Annaloro on . Gepost an Gesondheet-ISAC, An der News.

Aktualiséiert 31/2025/12 12:XNUMX EST
 

Dësen Artikel am Forbes deckt déi folgend Themen:

  • Kritesch Sécherheetsfehler Am DeepSeek System
  • Léieren a Monitor
  • CIO Kontrakt Ënnerschrëft
  • Praxis Breach Äntwert

Pulled Health-ISAC Zitat:

Rapid Äntwert ass besonnesch kritesch wann Dir mat Verstéiss mat net ënnerstëtzten Technologie handelt. Déi kierzlech proposéiert HIPAA Regel erfuerdert Gesondheetsorganisatiounen fir Systemer bannent 72 Stonnen ze restauréieren. Errol Weiss, Chief Security Officer at Gesondheet-ISAC, gesot dës dräi Beräicher ënnendrënner sinn Schlëssel.

  • Geschwindegkeet ass entscheedend: Wat Dir méi séier op en Cyber ​​​​Tëschefall reagéiert, dest manner Schued kann den Ugräifer verursaachen.
  • Follegt Ären Tëschefall Äntwert Plang: Wann Dir e pre-definéierten Tëschefall-Äntwertplang hutt, befollegt et genau.
  • Sicht Expert Hëllef: Wann Dir intern Expertise feelt, betruecht extern Cybersecurity Fachleit ze engagéieren.

Liest den Artikel am Forbes. Klick hei

Threat Bulletin: SimpleHelp RMM Software Leveraged in Exploitation Versuch fir Netzwierker ze briechen

schrëftlech vun Julia Annaloro on . Gepost an Gesondheet-ISAC, Ressourcen & Neiegkeeten, Gefor Intelligenz.

TLP Wäiss -

Update 30. Januar 2025

Health-ISAC, an Zesummenaarbecht mat AHA, huet versicht a lafend Ransomware Attacke identifizéiert potenziell wéinst SimpleHelp Remote Monitoring and Management (RMM) Software Schwachstelle. Baséierend op déi potenziell Bedrohung an Impakt op d'Patienteversuergung, huet d'AHA mat Health-ISAC geschafft fir sécherzestellen datt dëse Bulletin wäit an de Gesondheetssektor verdeelt gëtt.  
 
Et ass staark recommandéiert datt all Instanzen vun der SimpleHelp Applikatioun, besonnesch bannent Gesondheetsorganisatiounen, identifizéiert ginn an entspriechend Patches pro Bulletin Leedung applizéiert ginn. Et ass och staark recommandéiert datt Gesondheetsversuergungsorganisatiounen dofir suergen datt all Drëtt Partei a Geschäftspartner déi SimpleHelp benotzen och passend Patches applizéieren.

Januar 29, 2025

leschte Informatiounsblat weist datt Bedrohungsakteuren patchéiert Schwachstelle an der SimpleHelp Remote Monitoring and Management (RMM) Software ausnotzen fir onerlaabten Zougang zu privaten Netzwierker ze kréien. Dës Schwachstelle verfollegt als CVE-2024-57726, CVE-2024-57727, an CVE-2024-57728, goufen Enn Dezember 3 vun Horizon2024 Fuerscher entdeckt an dem SimpleHelp de 6. Januar opgedeckt, wat d'Firma gefrot huet Patches ze verëffentlechen. D'Mängel waren ëffentlech bekanntginn nodeems d'Patches den 13. Januar 2025 verëffentlecht goufen.

Dës Campagne betount d'Wichtegkeet vum Patchmanagement, well Bedrohungsakteuren Ausnotzen bannent enger Woch no der ëffentlecher Offenbarung benotzen. 

D'Schwieregkeeten, déi am SimpleHelp RMM identifizéiert goufen, kënnen Ugräifer erlaben Dateien ze manipuléieren an d'Privilegien op administrativ ze eskaléieren. E Bedrohungsakteur kéint dës Schwachstelle bei engem Attack ketten fir den administrativen Zougang zum vulnérable Server ze kréien an dann dësen Zougang ze benotzen fir den Apparat ze kompromittéieren deen vulnérabel SimpleHelp Client Software leeft. 

TLPWHITE Cb3ee67f Simplehelp Rmm Software Leveraged Am Exploitatioun Versuch fir Netzwierker ze briechen
Gréisst: 139.4 kB Format: PDF

 

Potenziell Gefore fir d'Gesondheetsariichtungen zirkuléieren online

schrëftlech vun Julia Annaloro on . Gepost an Gesondheet-ISAC, An der News.

 

No der tragescher Schéisserei vum UnitedHealthcare CEO zu New York City de 4. Dezember, huet d'Gesondheet-ISAC den 9. Dezember eng Alarm un d'Memberen erausginn, déi eelef virsiichteg Aktiounen z'identifizéieren, déi Gesondheetssektororganisatiounen sollten huelen.

Gesondheet-ISAC huet Berichter iwwer verschidde Online Poste kritt, déi Exekutoren am Gesondheetssektor menacéieren. Foren goufen als Quell vu Gefore identifizéiert, déi CEOs an der Gesondheetsindustrie zielen, besonnesch déi féierend grouss Gesondheetsversécherungsfirmen a pharmazeutesch Firmen. Health-ISAC huet e Bedrohungsbulletin erausginn fir de weltwäite Gesondheetssecteur z'informéieren iwwer wat bewosst muss sinn an d'Recommandatiounsschrëtt fir Organisatiounen direkt ze huelen. Liest w.e.g. an deelt am Gesondheetssektor.

TLPWHITE Da2c7f6d Potenziell Bedrohungen fir Gesondheetsversuergungsleit zirkuléieren online
Gréisst: 3.6 MB Format: PDF

 

Dës Bedrohungen, déi vun allgemenger Intimidatioun bis spezifesch Uruff fir Gewalt reechen, sinn entstanen no der rezenter Mord vun engem UnitedHealthcare CEO. Et ass wichteg ze notéieren datt den Täter vun dësem rezenten Attentat nach net festgeholl gouf, an d'Enquête iwwer déi méiglech Motiver leeft nach ëmmer.

Wärend dës zirkuléierend Bedrohungen net verifizéiert goufen, recommandéiert Health-ISAC eng verstäerkt Sécherheetsbewosstsinn ënner Gesondheetsleit a méi streng Sécherheetsmoossnamen fir Sécherheet ze garantéieren. 

Uruff fir Gewalt kënnen op d'Cyber ​​Domain verlängeren, wat Hacktivisten féieren fir DDoS an aner disruptive Attacken op de Gesondheetssektor auszeféieren. Gesondheet-ISAC recommandéiert datt d'Membere waakreg bleiwen iwwer d'Sécherheet vun all Infrastruktur an datt Organisatiounen all Spezifizitéiten deelen, déi se kënnen iwwer Gefore fir d'Exekutoren deelen, sou datt mir d'Gemeinschaft informéiert halen.

Sammelen Cyber ​​​​Vulnerability Metriken ass kritesch

schrëftlech vun Julia Annaloro on . Gepost an An der News.

Cyber ​​​​Vulnerabilitéitsmetriken sammelen ass kritesch, awer se mat de Stakeholderen op eng kloer an iwwerzeegend Manéier ze kommunizéieren ass Schlëssel, seet den H-ISAC Bericht

Wéi d'Gesondheetsindustrie méi ofhängeg gëtt op interconnected digital Systemer ass d'Wichtegkeet vu robuste Schwachstellemanagement ni méi ausgeschwat. Eng rezent Rapport vum Health-ISAC, Vulnerabilitéit Metriken a Berichterstattung, werft Liicht op bescht Praktiken a Strategien fir d'Cybersécherheet an de Gesondheetssystemer ze stäerken.

Liest de ganzen Artikel op HealthSystemCIO.com Klick hei

 

Orientatioun fir CTI an enger Box

schrëftlech vun Julia Annaloro on . Gepost an Gesondheet-ISAC, Ressourcen & Neiegkeeten, White Papers.

Dëse Wäissbuch presentéiert eng Analyse vun enger Ëmfro ënner Health-ISAC Memberen vun der Cyber ​​Threat Intelligence (CTI) Programm Entwécklung Working Group. D'Ëmfro huet als Zil kritesch Abléck an den aktuellen Zoustand vun de CTI Programmer am ganze Gesondheetssektor ze bidden, Stäerkten a Méiglechkeete fir Wuesstum z'identifizéieren.

 

Zweck

D'Resultater vun der Ëmfro waren instrumental fir d'Efforte vum Working Group ze guidéieren fir héichwäerteg Liwwerungen ze prioritéieren an Zesummenaarbecht bannent der Health-ISAC Gemeinschaft ze förderen. Dës Erkenntnisser hunn d'Entwécklung vu praktesche Ressourcen informéiert fir CTI Initiativen z'ënnerstëtzen an ze förderen.

Schlësselfindungen

De Pabeier entdeckt 9 Schlëssel Resultater vun der Ëmfro, déi direkt d'Schafung vu Ressourcen an Tools beaflosst hunn, déi op d'Bedierfnesser vun de Gesondheets-ISAC Memberen ugepasst sinn. Dës Erkenntnisser déngen als Grondlag fir eng innovativ Ressource Suite genannt CTI an enger Këscht. Dës ëmfaassend Ressource organiséiert wesentlech Tools, Strategien a beschten Praktiken fir d'Gesondheet-ISAC Memberen z'erméiglechen fir hir CTI Programmer ze stäerken. Membere kënnen Zougang CTI an enger Këscht duerch d ' Health-ISAC Threat Intelligence Portal (H-TIP).

 

Klick hei

Continue reading

Cyware lancéiert Threat Intelligence Plattform fir Gesondheetsorganisatiounen vu Cyber ​​​​Bedrohungen ze verteidegen

schrëftlech vun Julia Annaloro on . Gepost an Gesondheet-ISAC, An der News.

Eng Industrie-Tuned Threat Intelligence Plattform fir Gesondheetsorganisatiounen vu Cyber ​​​​Bedrohungen ze verteidegen

Zweck-gebaut Léisung erméiglecht Gesondheetssécherheetsteams mat Gesondheetsspezifesch Bedrohungsfeeds an automatiséiert Äntwertfäegkeeten.

Medien ernimmen:

Errol Weiss, Chief Security Officer at Health-ISAC and Cyware Client, huet de kritesche Bedierfnes fir dës Innovatioun ausgedréckt: "Gesondheetsariichtung ass ee vun de meescht geziilte Secteuren vun Cyberkrimineller. Eng Bedrohungsintelligenz Plattform ze hunn, déi speziell fir eis Industrie entworf ass, erlaabt Gesondheetsorganisatiounen séier Zougang zu relevanten, handlungsfäeg Abléck, déi e konkreten Ënnerscheed maache kënnen am Verteidegung géint sophistikéiert Attacken.

Rachel James, Health-ISAC Threat Intelligence Committee Member, bemierkt, "An engem Ëmfeld wou d'Zäit kritesch ass, brauche Gesondheetssécherheetsteams Tools déi et erlaben méi mat manner Effort ze maachen, awer mat méi Genauegkeet. Cyware's Healthcare Threat Intelligence Plattform ass entwéckelt fir séier op Gesondheetsspezifesch Bedrohungen z'identifizéieren an z'äntwerten, fir Organisatiounen z'erméiglechen virun Attacken ze bleiwen ouni duerch Komplexitéit iwwerwältegt ze ginn.

Liest déi komplett Pressematdeelung am BusinessWire:

Klick hei

Vulnerabilitéit Metriken a Berichterstattung

schrëftlech vun Julia Annaloro on . Gepost an Gesondheet-ISAC, White Papers.

E Wäissbuch publizéiert vum Health-ISAC's Vulnerability Management Working Group

An der heiteger ëmmer-on interconnectéierter Welt ass Schwachstellemanagement e Fundamentalprozess fir all Organisatiounen. Metriken a Berichterstattung spillen eng kritesch Roll bei der Iwwerwaachung vun de Servicer déi mir ubidden, d'Implementéierung vun Erkennungsfäegkeeten a Sanéierungsefforte vun Applikatiouns- oder Technologieteams. Effektiv Storytelling mat Metriken a Berichterstattung kann hëllefen Verbesserungen oder d'Effizienz vun eisem Technologie Support Personal ze weisen. D'Gestiounsteam vun der Schwachstelle sollt e Scoresystem hunn fir d'Remediatiounszäitlinnen vun der Organisatioun ze reflektéieren.

Vulnerabilitéit Metriken a Berichterstattung (1)
Gréisst: 2.3 MB Format: PDF