H-ISAC Hacking Healthcare 2-9-2021
TLP White: ອາທິດນີ້, Hacking Healthcare ເລີ່ມຕົ້ນດ້ວຍການເບິ່ງ ransomware ອື່ນ. ໂດຍສະເພາະ, ພວກເຮົາວິເຄາະແນວໂນ້ມທີ່ເກີດຂື້ນໃນຕະຫຼອດປີທີ່ຜ່ານມາ, ຂໍ້ມູນຈາກໄຕມາດສຸດທ້າຍຂອງປີ 2020 ແລະສິ່ງທີ່ມັນບອກພວກເຮົາກ່ຽວກັບບ່ອນທີ່ສິ່ງທີ່ເປັນຫົວຫນ້າ, ແລະເປັນຫຍັງ ransomware ກາຍເປັນກໍາໄລຫນ້ອຍສໍາລັບອາຊະຍາກໍາທາງອິນເຕີເນັດອາດຈະເປັນອັນຕະລາຍຕໍ່ຂະແຫນງການດູແລສຸຂະພາບ. ພວກເຮົາຈົບລົງໂດຍການທໍາລາຍ 'ໄພຂົ່ມຂູ່' ທາງດ້ານອິນເຕີເນັດທີ່ບໍ່ແມ່ນແບບດັ້ງເດີມທີ່ມີທ່າແຮງທີ່ຈະເປັນອັນຕະລາຍຕໍ່ການສັກຢາວັກຊີນ, ແລະເປັນຫຍັງວິທີແກ້ໄຂອາດຈະບໍ່ງ່າຍຫຼາຍ.
ໃນຖານະເປັນການເຕືອນ, ນີ້ແມ່ນສະບັບສາທາລະນະຂອງ blog Hacking Healthcare. ສໍາລັບການວິເຄາະແລະຄວາມຄິດເຫັນໃນຄວາມເລິກເພີ່ມເຕີມ, ກາຍເປັນສະມາຊິກຂອງ H-ISAC ແລະໄດ້ຮັບສະບັບ TLP Amber ຂອງ blog ນີ້ (ມີຢູ່ໃນສະມາຊິກ Portal.)
ຍິນດີຕ້ອນຮັບກັບມາ Hacking Healthcare.
1. 2020 ການທົບທວນ Ransomware
ມັນເບິ່ງຄືວ່າເປັນການເດີມພັນທີ່ປອດໄພທີ່ ransomware ຈະສືບຕໍ່ເປັນໄພຂົ່ມຂູ່ໃນປີ 2021, ແຕ່ບາງຂໍ້ມູນທີ່ປ່ອຍອອກມາໃຫມ່ຊີ້ໃຫ້ເຫັນວ່າວິທີການແລະກົນລະຍຸດທີ່ພັດທະນາຈະຊ່ວຍໃຫ້ໃຫ້ແນ່ໃຈວ່າສະຖານະການຈະຍັງຄົງຢູ່. ບົດລາຍງານທີ່ຜ່ານມາຈໍານວນຫນຶ່ງໄດ້ຊ່ວຍເຮັດໃຫ້ຂະຫນາດຂອງບັນຫາເຂົ້າໄປໃນສະພາບການ, ແລະຜົນກະທົບທີ່ກວ້າງຂວາງທີ່ ransomware ມີຢູ່ໃນຂະແຫນງການເບິ່ງແຍງສຸຂະພາບແມ່ນບໍ່ແປກໃຈ. ມີຫຼາຍອັນທີ່ໜ້າສັງເກດຈາກຂໍ້ມູນນີ້, ລວມທັງຂ່າວທີ່ອາດຈະໃຫ້ກຳລັງໃຈທີ່ຊີ້ໃຫ້ເຫັນວ່າການໂຈມຕີ ransomware ກາຍເປັນຜູ້ກະທໍາຜິດໜ້ອຍລົງ. ຢ່າງໃດກໍ່ຕາມ, ພາກສ່ວນການວິເຄາະຂອງພວກເຮົາຈະຄົ້ນຫາວ່າເປັນຫຍັງນັ້ນອາດຈະບໍ່ເປັນສັນຍານຜົນປະໂຫຍດສໍາລັບຂະແຫນງການດູແລສຸຂະພາບ.
Recap
ທໍາອິດ, ໃຫ້ເຮົາສະຫຼຸບໂດຍໄວກ່ຽວກັບບ່ອນທີ່ສິ່ງທີ່ຢືນຢູ່. ສິ່ງທ້າທາຍທີ່ຂະແຫນງການແພດປະເຊີນຫນ້າແມ່ນໃຫຍ່ຫຼວງໃນປີທີ່ຜ່ານມາ, ແລະອາດຊະຍາກອນທາງອິນເຕີເນັດແນ່ນອນວ່າບໍ່ໄດ້ເຮັດໃຫ້ການຈັດການກັບ COVID-19 ງ່າຍຂຶ້ນ. VMware Carbon Black ລາຍງານຄວາມພະຍາຍາມ 239.4 ລ້ານ cyberattacks ຕໍ່ລູກຄ້າການດູແລສຸຂະພາບຂອງຕົນເອງຢ່າງດຽວໃນປີ 2020, ສຸດທ້າຍໃນສະຖິຕິທີ່ເກືອບບໍ່ຫນ້າເຊື່ອທີ່ວ່າ "ຫນ່ວຍງານການດູແລສຸຂະພາບໄດ້ເຫັນ 816 ການໂຈມຕີຕໍ່ຈຸດສິ້ນສຸດໃນປີກາຍນີ້, ເພີ່ມຂຶ້ນ 9,851 ສ່ວນຮ້ອຍທີ່ບໍ່ຫນ້າເຊື່ອຈາກ 2019."[1] ຂໍ້ມູນນີ້ເກີດຂື້ນພຽງແຕ່ອາທິດຫຼັງຈາກບໍລິສັດຄວາມປອດໄພທາງອິນເຕີເນັດ Emsisoft ລາຍງານວ່າຢ່າງຫນ້ອຍ 560 ສະຖານທີ່ຜູ້ໃຫ້ບໍລິການດ້ານສຸຂະພາບໄດ້ຖືກໂຈມຕີໂດຍ ransomware ໃນປີ 2020.[2]
ທີ່ຫນ້າທໍ້ຖອຍໃຈ, ransomware ທີ່ແຜ່ຫຼາຍທີ່ສຸດທີ່ຕີຂະແຫນງການດູແລສຸຂະພາບເບິ່ງຄືວ່າ Cerber. Rampant ໃນປີ 2017, Cerber ໄດ້ຫຼຸດລົງຢ່າງຫຼວງຫຼາຍໃນປີ 2018, ກ່ອນທີ່ຈະປະຕິບັດອີກເທື່ອຫນຶ່ງໃນປີກາຍນີ້ແລະກວມເອົາ 58% ຂອງການໂຈມຕີ ransomware ຕໍ່ລູກຄ້າໃນຂະແຫນງການດູແລສຸຂະພາບຂອງ VMware Carbon Black.[3] ໃນຂະນະທີ່ Carbon Black ສັງເກດເຫັນວ່າ Cerber ໄດ້ຮັບການປັບປຸງແລະການປັບຕົວ, ຄວາມສໍາເລັດຂອງບາງຕົວແປໃນປີ 2020 ແມ່ນເກືອບແນ່ນອນທີ່ເຊື່ອມໂຍງກັບຊ່ອງໂຫວ່ທີ່ບໍ່ໄດ້ຮັບການປັບປຸງ, ອີກເທື່ອຫນຶ່ງເນັ້ນຫນັກເຖິງຄວາມຫຍຸ້ງຍາກເພີ່ມເຕີມຂອງຄວາມປອດໄພທາງອິນເຕີເນັດໃນຂະແຫນງການດູແລສຸຂະພາບ.[4]
ສັນຍານໃນທາງບວກທີ່ມີທ່າແຮງອັນຕະລາຍ
ສິ້ນສຸດດ້ວຍຂ່າວທີ່ອາດຈະດີ, ການຕອບໂຕ້ ransomware ແລະບໍລິສັດຟື້ນຟູ Coveware ໄດ້ປ່ອຍອອກມາ ລາຍງານ Ransomware ປະຈໍາໄຕມາດ ສໍາລັບ Q4 ຂອງປີ 2020 ວັນຈັນທີ່ຜ່ານມາ. ການ takeaway ທີ່ສໍາຄັນທີ່ສຸດເບິ່ງຄືວ່າເປັນການລາຍງານຂອງພວກເຂົາວ່າການຈ່າຍເງິນ ransomware ໄດ້ຫຼຸດລົງຢ່າງຫຼວງຫຼາຍ. ໂດຍຕົວເລກຂອງພວກເຂົາ, ການຈ່າຍເງິນ ransomware ສະເລ່ຍຫຼຸດລົງປະມານ 34% ຈາກ Q3 2020, ຫຼຸດລົງເປັນ $ 154,108 ຈາກ $ 233,817.[5] ນອກຈາກນັ້ນ, ການຈ່າຍເງິນຄ່າ ransomware ປານກາງທີ່ເຮັດໃນ Q4 ໄດ້ເຫັນການຫຼຸດລົງທີ່ໃຫຍ່ກວ່າປະມານ 55%, ຫຼຸດລົງເຖິງ $ 49,450 ຈາກ $ 110,532.[6]
ກ່ອນທີ່ຈະມີບົດລາຍງານໃຫມ່ຫຼ້າສຸດນີ້, Coveware ກ່ອນຫນ້ານີ້ໄດ້ລາຍງານການເພີ່ມຂຶ້ນຢ່າງຕໍ່ເນື່ອງໃນການຈ່າຍເງິນຄ່າ ransomware ໂດຍສະເລ່ຍແລະປານກາງທີ່ຈະກັບຄືນໄປບ່ອນ Q4 2018.[7] Coveware ໃຫ້ເຫດຜົນວ່າການຫຼຸດລົງທີ່ຜ່ານມາບາງສ່ວນເປັນການທໍາລາຍຄວາມໄວ້ວາງໃຈທີ່ນັກສະແດງ ransomware ທີ່ exfiltrate ຂໍ້ມູນຕົວຈິງຈະລຶບມັນອອກເມື່ອໄດ້ຮັບຄ່າໄຖ່. ຕົວຢ່າງຈໍານວນຫລາຍຂອງຂໍ້ມູນ "ລຶບ" ທີ່ຖືກຂາຍຄືນໃນຕະຫຼາດສີດໍາ, ຫຼືຖືກນໍາໃຊ້ເພື່ອຖືອົງການຈັດຕັ້ງສໍາລັບຄ່າໄຖ່ເປັນຄັ້ງທີສອງ, ໄດ້ປ່ຽນແປງການຄິດໄລ່ຄວາມສ່ຽງສໍາລັບຜູ້ຖືກເຄາະຮ້າຍ ransomware.
ໃນຂະນະທີ່ບົດລາຍງານສະບັບເຕັມມີຂໍ້ມູນເພີ່ມເຕີມ, ບັນທຶກທີ່ຫນ້າສົນໃຈບໍ່ຫຼາຍປານໃດໄດ້ຈັບຕາຂອງພວກເຮົາ. ຫນ້າທໍາອິດ, email phishing ຍັງສືບຕໍ່ປີນຂຶ້ນເປັນ vector ການໂຈມຕີ, ທໍາລາຍເຄື່ອງຫມາຍ 50% ແລະ overtaking RDP compromise. ອັນທີສອງ, ປະມານ 70% ຂອງການໂຈມຕີ ransomware ໃນ Q4 ກ່ຽວຂ້ອງກັບໄພຂົ່ມຂູ່ທີ່ຈະຮົ່ວໄຫລຂໍ້ມູນ exfiltrated, ເພີ່ມຂຶ້ນ 20 ເປີເຊັນຫຼາຍກວ່າ Q3.[8] ຍິ່ງໄປກວ່ານັ້ນ, Coveware ລາຍງານວ່ານັກສະແດງທີ່ເປັນອັນຕະລາຍແມ່ນໄປຈົນເຖິງ "ສ້າງການຂູດຂໍ້ມູນໃນກໍລະນີທີ່ມັນບໍ່ເກີດຂື້ນ." ຢ່າງໃດກໍ່ຕາມ, ຂໍ້ມູນນ້ອຍໆທີ່ກ່ຽວຂ້ອງທີ່ສຸດອາດຈະເປັນການລາຍງານຂອງ Coveware ເພີ່ມຂຶ້ນໃນ "ການເພີ່ມຂື້ນຂອງການທໍາລາຍຂໍ້ມູນທີ່ບໍ່ສາມາດປ່ຽນແປງໄດ້ເຊິ່ງກົງກັນຂ້າມກັບການທໍາລາຍພຽງແຕ່ເປົ້າຫມາຍຂອງການສໍາຮອງຂໍ້ມູນຫຼືການເຂົ້າລະຫັດຂອງລະບົບທີ່ສໍາຄັນ."[9]
ການປະຕິບັດ & ການວິເຄາະ
** ຕ້ອງການສະມາຊິກ **
2. ການດູແລສຸຂະພາບປະເຊີນກັບໄພຂົ່ມຂູ່ທາງອິນເຕີເນັດທີ່ບໍ່ແມ່ນແບບດັ້ງເດີມ.
ໃນຂະນະທີ່ຂະແໜງການຮັກສາຄວາມປອດໄພທາງອິນເຕີເນັດ ແລະ ທີມ IT ປະສົບກັບສິ່ງທ້າທາຍອັນໜັກໜ່ວງໃນການຮັກສາຄວາມເປັນສ່ວນຕົວ ແລະ ຄວາມປອດໄພຂອງເຄືອຂ່າຍ ແລະ ຂໍ້ມູນຂອງເຂົາເຈົ້າ ຕໍ່ກັບໄພຂົ່ມຂູ່ຂອງລັດ ແລະ ທີ່ບໍ່ແມ່ນຂອງລັດທັງໝົດ, ອາດຈະມີສິ່ງທ້າທາຍທາງດ້ານເຕັກນິກທີ່ບໍ່ດັ້ງເດີມອີກອັນໜຶ່ງທີ່ທັກສະຂອງເຂົາເຈົ້າ. ອາດຈະເປັນປະໂຫຍດ.
ໃນຄວາມຮີບຮ້ອນທີ່ຈະໄດ້ຮັບການສັກຢາວັກຊີນໃນທົ່ວປະເທດ, ອົງການການດູແລສຸຂະພາບກໍາລັງປະເຊີນຫນ້າກັບວຽກງານບໍລິຫານແລະການຂົນສົ່ງທີ່ບໍ່ເຄີຍມີມາກ່ອນໃນການຈັດຕັ້ງການນັດຫມາຍສໍາລັບຄົນເຈັບໃນຂະນະທີ່ພະຍາຍາມເອົາສິ່ງເສດເຫຼືອທີ່ນ້ອຍທີ່ສຸດຂອງປະລິມານວັກຊີນທີ່ມີຄ່າ. ເພື່ອຊ່ວຍໃນຄວາມພະຍາຍາມນີ້, ອົງການຈັດຕັ້ງຈໍານວນຫຼາຍໄດ້ໃຊ້ບາງຮູບແບບຂອງປະຕູອອນໄລນ໌ຫຼືຕາຕະລາງ. ກະຊວງສາທາລະນະສຸກ ແລະການບໍລິການມະນຸດຂອງສະຫະລັດ (HHS) ໄດ້ອອກແຈ້ງການເຖິງການຕັດສິນໃຈບັງຄັບໃຊ້ ຄໍາຮ້ອງສະຫມັກຕາຕະລາງອອນໄລນ໌ຫຼືເວັບໄຊຕ໌.[10] ແຕ່ຫນ້າເສຍດາຍ, ຜູ້ກໍານົດເວລາເຫຼົ່ານີ້ໄດ້ກາຍເປັນຜູ້ຖືກເຄາະຮ້າຍຂອງການໂຈມຕີ 'bot' ທີ່ຖືກຈັດຕັ້ງໂດຍ scalpers.
ອີງຕາມການ Reuters, "ຮ້ານຂາຍຍ່ອຍແລະຮ້ານຂາຍຢາຂອງສະຫະລັດເຊັ່ນ Walgreens ແລະ CVS Health ກໍາລັງກະກຽມສໍາລັບຮອບໃຫມ່ຂອງການໂຈມຕີ "bot" ໂດຍ scalpers ຫວັງວ່າຈະໄດ້ນັດພົບວັກຊີນ COVID-19."[11] ໃນຂະນະທີ່ພຶດຕິກຳແບບນີ້ເປັນທີ່ຄຸ້ນເຄີຍກັບທຸກຄົນທີ່ພະຍາຍາມຊື້ສິນຄ້າທີ່ມີຈຳນວນຈຳກັດ ເຊັ່ນ: ເຄື່ອງມືເທັກໂນໂລຢີໃໝ່ລ່າສຸດ ຫຼື ປີ້ເຂົ້າຊົມການແຂ່ງຂັນກິລາ, ທັງສອງກໍລະນີນັ້ນຖືກຈັດປະເພດເປັນສິ່ງລົບກວນໄດ້ງ່າຍກວ່າ. ສິ່ງດຽວກັນບໍ່ສາມາດເວົ້າໄດ້ຖ້າຫາກວ່າພຶດຕິກໍາດັ່ງກ່າວເລີ່ມສົ່ງຜົນກະທົບຕໍ່ການວາງຢາວັກຊີນຢ່າງຫຼວງຫຼາຍ.
ອີງຕາມການ Reuters, "[i] ໃນອາທິດທີ່ຜ່ານມາ, ປະຊາຊົນໄດ້ແບ່ງປັນໃນເຄືອຂ່າຍສື່ສັງຄົມກ່ຽວກັບເລື່ອງທີ່ຫນ້າຢ້ານຂອງຄວາມພະຍາຍາມທີ່ຈະຮັບປະກັນການນັດພົບການສັກຢາວັກຊີນຈາກແຫຼ່ງຂອງລັດຖະບານ, ໂດຍມີບາງ bots ຕໍານິສໍາລັບ crash ເວັບແລະຊ່ອງຖືກລັກ." ທັງ Walgreens ແລະ CVS ໄດ້ຊີ້ໃຫ້ເຫັນວ່າພວກເຂົາຮູ້ເຖິງບັນຫາດັ່ງກ່າວແລະໄດ້ຈັດຕັ້ງການປ້ອງກັນຫຼາຍໆຢ່າງເພື່ອກວດພົບແລະປ້ອງກັນ.
ການປະຕິບັດ & ການວິເຄາະ
** ຕ້ອງການສະມາຊິກ **
ກອງປະຊຸມ -
ວັນອັງຄານທີ 9 ກຸມພາ:
- ບໍ່ມີການໄຕ່ສວນທີ່ກ່ຽວຂ້ອງ
ວັນພຸດ, ວັນທີ 10 ກຸມພາ:
– ສະພາຜູ້ແທນລາຊະດອນ – ຄະນະກຳມະການພິຈາລະນາຄວາມໝັ້ນຄົງແຫ່ງຊາດ: Homeland Cybersecurity: ການປະເມີນໄພຂົ່ມຂູ່ທາງໄຊເບີ ແລະການສ້າງຄວາມຢືດຢຸ່ນ
ວັນພະຫັດ, 11 ກຸມພາ:
- ບໍ່ມີການໄຕ່ສວນທີ່ກ່ຽວຂ້ອງ
International ການໄຕ່ສວນ/ກອງປະຊຸມ -
- ບໍ່ມີການໄຕ່ສວນທີ່ກ່ຽວຂ້ອງ
EU -
- ບໍ່ມີການໄຕ່ສວນທີ່ກ່ຽວຂ້ອງ
ເຄື່ອງຍ່ອຍ -
ກອງປະຊຸມ, Webinars, ແລະກອງປະຊຸມສຸດຍອດ -
ຕິດຕໍ່ພວກເຮົາ: ຕິດຕາມ @HealthISAC, ແລະອີເມລ໌ທີ່ contact@h-isac.org
[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point
[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020
[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf
[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S
- ຊັບພະຍາກອນທີ່ກ່ຽວຂ້ອງ & ຂ່າວ