Health-ISAC Hacking Healthcare 6-15-2021
TLP White: šią savaitę Įsilaužimas į sveikatos priežiūrą yra skirta apibendrinti ir analizuoti pastarojo meto išpirkos reikalaujančių programų pokyčius tiek viešajame, tiek privačiame sektoriuje. Be to, kas vyksta, mes pateikiame naujas gaires ir rekomendacijas bei pateikiame savo mintis apie tai, kaip šie pokyčiai buvo naudingi ar nenaudingi sprendžiant išpirkos reikalaujančios programos problemą.
Primename, kad tai yra vieša dienoraščio „Hacking Healthcare“ versija. Norėdami gauti papildomos išsamios analizės ir nuomonės, tapkite H-ISAC nariu ir gaukite šio tinklaraščio TLP Amber versiją (pasiekiama narių portale).
Sveiki sugrįžę į Įsilaužimas į sveikatos priežiūrą.
1. Įvadas
„Ransomware“ neturėjo problemų išlikti dėmesio centre, nes per pastarąsias kelias savaites vis daugėjo didelio atgarsio incidentų. Valdžios institucijos ir privataus sektoriaus organizacijos stengiasi išspręsti vis baisiaesnę situaciją, o bendras padėties raidos greitis gali padėti lengvai nepastebėti kritinių įvykių. Atsižvelgdami į tai, skyrėme šį leidimą Įsilaužimas į sveikatos priežiūrą išnagrinėti naujausius išpirkos reikalaujančių programų pokyčius, įvertinti jų poveikį privačiam sektoriui ir pabrėžti keletą rekomendacijų, kurios gali būti naudingos H-ISAC nariams.
Vyriausybės atsakymas
Pradedame nuo Bideno administracijos. Administracija paskyrė kibernetinį saugumą prioritetine sritimi ir nerado kritinių kibernetinio saugumo incidentų, į kuriuos reikia reaguoti, trūkumo. Nepaisant to, kad laikas sutapo su „Colonial Pipeline“ išpirkos programinės įrangos ataka, administracijos naujausi su kibernetiniais įsakymais susiję vykdomieji nurodymai dėl Rusijos kišimosi, tiekimo grandinės iššūkių ir kibernetinio saugumo buvo pritaikyti pirmiausia kaip atsakas į ankstesnius incidentus, tokius kaip „SolarWinds“, ir buvo mažiau sutelkti į išpirkos programų problemą. . Tačiau per pastarąsias kelias savaites Bideno administracija ėmėsi daugybės veiksmų, siekdama kovoti su nepaliaujamai išpirkos reikalaujančių programų banga.
Teisingumo ministerija
Teisingumo departamentas (DOJ) buvo ypač aktyvus šioje srityje.
Ransomware darbo grupė: Kaip trumpai aptarėme ankstesniame leidime, balandžio pabaigoje buvo išleista vidinė DOJ atmintinė, kurioje buvo paskelbta, kad bus suformuota išpirkos reikalaujančių programų darbo grupė. Atmintinėje buvo pripažinta, kad išpirkos reikalaujančios programos kelia ne tik didėjančią ekonominę grėsmę, bet ir grėsmę Amerikos piliečių sveikatai ir saugumui.[1] Buvo pranešta, kad šis atmintinė pagerins dalijimąsi žvalgybos duomenimis visoje DOJ, sukurs strategiją, kuri būtų skirta kiekvienam išpirkos reikalaujančių programų ekosistemos aspektui, ir apskritai bus imtasi aktyvesnio požiūrio.[2]
Ransomware Elevation: Pirmiau minėta strategija ir požiūris buvo iš dalies pristatytas birželio pradžioje, kai buvo pranešta, kad buvo išplatintos tolesnės vidaus DOJ gairės, pagal kurias ransomware atakų tyrimams buvo suteiktas panašus prioritetas nei terorizmui.[3] Norint užtikrinti, kad įvairios suinteresuotosios šalys, susijusios su išpirkos programinės įrangos incidentais, būtų sukurtas kuo geresnis supratimas ir veikimo vaizdas, reikia, kad išpirkos reikalaujančių programų atvejai ir tyrimai būtų centralizuotai koordinuojami su išpirkos reikalaujančių programų darbo grupe Vašingtone.
Išpirkos išieškojimas: Kai „Colonial Pipeline“ sumokėjo išpirkos reikalavimą bitkoinais, daugelis manė, kad nusikaltėliai, o pinigų kaip ir nebėra. Tačiau FTB vadovaujama operacija sugebėjo konfiskuoti 2.3 mln. USD Bitcoin, sumokėto kaip išpirkos.[4] Teigiama, kad FTB stebėjo išpirkos lėšų judėjimą viešai matomoje Bitcoin knygoje ir tada gavo prieigą prie virtualios sąskaitos, kurioje atsidūrė didžioji jų dalis.[5]
JAV CYBERCOM
Be DOJ, JAV kibernetinė komanda (CYBERCOM), kurios misija yra „nukreipti, sinchronizuoti ir koordinuoti kibernetinės erdvės planavimą ir operacijas – ginti ir skatinti nacionalinius interesus – bendradarbiaujant su vietiniais ir tarptautiniais partneriais“, taip pat turi atlikti svarbų vaidmenį reaguoti į išpirkos programinės įrangos grėsmes.[6]
Klausos: Praėjusį penktadienį vykusiame virtualiame posėdyje generolas Nakasone, kuris buvo ir CYBERCOM vadovas, ir NSA direktorius, atsisakė reikalauti naujų institucijų, kurios imtųsi kibernetinių nusikaltėlių grupių.[7] Jis pareiškė manantis, kad turi „visas institucijas, kurių man reikia, kad galėčiau žvalgybos pagrindu patraukti baudžiamojon atsakomybėn prieš šiuos priešininkus už Jungtinių Valstijų ribų“.[8] Tačiau, konkrečiai kalbėdamas apie išpirkos reikalaujančią programinę įrangą, jis nurodė, kad tikrasis iššūkis ir tas, kurį Bideno administracija dirba, yra tai, kaip dalytis ir koordinuoti žvalgybos informaciją ir veiksmus su įvairiomis viešosiomis ir privačiomis suinteresuotosiomis šalimis, kartu nustatant, kas imasi vadovo apskritai. pastangas. [9]
DHS
Rekomendacijos – CISA: didėjanti išpirkos reikalaujančių programų grėsmė OT turtui: Dėl padidėjusios išpirkos reikalaujančios programinės įrangos svarbos vyriausybė taip pat paskelbė papildomas gaires, įskaitant CISA informacinį lapą pavadinimu, Didėjanti Ransomware grėsmė operacinių technologijų turtui.[10] Trijų puslapių dokumente apžvelgiama išpirkos reikalaujančios programinės įrangos grėsmė, ypač susijusi su OT turtu, ir aprašomi veiksmai, kurių organizacijos turėtų imtis, kad pasirengtų išpirkos reikalaujančioms programoms, ją sušvelnintų ir reaguotų.
Privataus sektoriaus plėtra
Pastarosiomis savaitėmis taip pat buvo keletas pastebimų išpirkos reikalaujančių programų pokyčių, susijusių su privačiu sektoriumi. Deja, šie pokyčiai buvo labiau neigiami, o ne teigiami. Dėl didelio atgarsio išpirkos reikalaujančių programų atakų ir toliau mokama kelių milijonų dolerių išpirka, o JAV Kongresas labai kritiškai vertina privataus sektoriaus reagavimą į incidentus.
IST Ransomware Task Force (RTF): RTF, apie 60 ekspertų iš viešojo ir privataus sektoriaus, išleido 81 puslapio ataskaitą, kurioje pateikiama išsami ir išsami kovos su išpirkos programomis sistema.[11] Šis dokumentas turėtų padėti informuoti asmenis apie išpirkos reikalaujančios programinės įrangos niuansus, taip pat pateikti praktinių ir veiksmingų politikos veiksmų.
Saugumo ir technologijų instituto (IST) suburtas RTF apima didžiųjų technologijų įmonių, tokių kaip Microsoft ir Amazon, atstovus; kibernetinio saugumo organizacijos, tokios kaip „Rapid7“, „Palo Alto Networks“, „Cybersecurity Coalition“, „Cyber Threat Alliance“ ir „Global Cyber Alliance“; ir vyriausybinėms organizacijoms, tokioms kaip JK Nacionalinis kibernetinio saugumo centras (NCSC) ir JAV kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA).
JBS ir CNA: JBS, vienas didžiausių mėsos perdirbėjų Jungtinėse Valstijose, neseniai tapo vienu iš kitų didelio atgarsio sulaukusių išpirkos programų incidentų po „Colonial Pipeline“. Išpuolis turėjo platų poveikį, nes pranešama, kad buvo paveiktos JBS operacijos Australijoje, Kanadoje ir JAV.[12] Galiausiai JBS sumokėjo maždaug 11 milijonų dolerių išpirką, siekdama užtikrinti, kad nusikaltėliai nepavogtų įmonės duomenų.[13]
Tačiau ši išmoka nublanksta prieš beveik 40 milijonų dolerių, kuriuos draudimo organizacija CNA Financial Corp., kaip pranešama, sumokėjo, kad „atgautų savo tinklo kontrolę po išpirkos reikalaujančios programinės įrangos atakos“.[14] Nors atrodo, kad išpuolis įvyko kovo mėnesį, informacija apie išpirkos mokėjimą tapo vieša tik gegužės pabaigoje.
Kongreso balsų nepritarimas: Praėjusią savaitę vykusiame Kongreso posėdyje įstatymų leidėjai ne kartą bendravo su „Colonial Pipeline“ generaliniu direktoriumi Josephu Bluntu, kaip jie reagavo į išpirkos programinės įrangos incidentą. Kai kurie įstatymų leidėjai tvirtino, kad „Colonial Pipeline“ atsisakė savanoriškos Transporto saugumo administracijos kibernetinio saugumo peržiūros, o atstovė Bonnie Watson Coleman (D) pareiškė: „Šių vertinimų atidėliojimas tiek ilgai reiškia jų atmetimą, pone.[15] Kiti nesutiko su dujotiekio sprendimu nedelsiant nesikreipti į DHS ir CISA arba nepriimti jų pagalbos atliekant atkūrimo operacijas.[16] Keletas Kongreso narių nuėjo taip toli, kad suabejojo, ar savanoriški kibernetinio saugumo standartai ir „neatsargus“ požiūris į ypatingos svarbos infrastruktūrą vis dar yra priimtinas.[17]
Veiksmas ir analizė
**Būtina narystė**
Kongresas -
Antradienis, birželio 15 d:
– Nėra atitinkamų posėdžių
Trečiadienis, birželio 16 d:
– Senatas – Tėvynės saugumo ir vyriausybinių reikalų komitetas: verslo susitikimas, skirtas apsvarstyti Jen Easterly kandidatūras į Valstybės saugumo departamento Kibernetinio saugumo ir infrastruktūros saugumo agentūros direktoriaus pareigas ir Chriso Ingliso kandidatūras į nacionalinį kibernetinį direktorių.
- Atstovų rūmai – Tėvynės saugumo komitetas: kibernetinės grėsmės vamzdynuose: federalinio atsako į kolonijinio vamzdyno išpirkos programinės įrangos ataką pamokos
Birželio 17 d., ketvirtadienis:
– Nėra atitinkamų posėdžių
tarptautiniu mastu Klausymai/Susitikimai -
– Nėra atitinkamų susitikimų
ES -
Konferencijos, internetiniai seminarai ir aukščiausiojo lygio susitikimai –
Susisiekite su mumis: sekite @HealthISAC ir el. paštu contact@h-isac.org
[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/
[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html
[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj
[6] https://www.cybercom.mil/About/Mission-and-Vision/
[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf
[11] https://securityandtechnology.org/ransomwaretaskforce/
[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack
[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
- Susiję šaltiniai ir naujienos