Health-ISAC Hacking Healthcare 9-9-2021

TLP White: Оваа недела, Хакирање здравство започнува со истакнување на известувањето за новиот проект за телездравствена сајбер-безбедност на Националниот институт за стандарди и технологија (NIST), кој во моментов е отворен за коментари во индустријата. Следно, накратко ја испитуваме новата студија за сајбер-безбедност во здравствениот сектор која нагласува како злонамерните актери сè повеќе ги таргетираат помалите амбулантски и специјализирани клиники. Потоа откриваме како една незадоволна подружница за откупнина протекола книшка за откупни софтвери и што дошле безбедносните истражувачи од истрагата. Конечно, завршуваме со извештај за инсајдерски закани и ставаме во центарот на вниманието на потребата од меѓусекторска соработка за да помогнеме ефикасно да се ублажат таквите закани.

За потсетување, ова е јавната верзија на блогот Hacking Healthcare. За дополнителна длабинска анализа и мислење, станете член на H-ISAC и добијте ја TLP Amber верзијата на овој блог (достапна на порталот за членови.)

Добредојдовте назад во Хакирање здравство.

Пдф верзија:

Погледнете PDF

Текст верзија:

1. NIST го објави нацрт-проектот за сајбер-безбедност за Telehealth

Националниот центар за извонредност NIST (NCCoE) објави нов нацрт-проект насловен Ублажување на ризикот од сајбер-безбедност во интеграцијата на паметните домови во телездравствениот систем.[1] Препознавајќи дека телездравствената технологија еволуираше во тандем со IoT до тој степен што поединците сега често користат IoT уреди од потрошувачки степен за пристап и интеракција со нивните здравствени информации, NIST бара да создаде упатства што ќе помогнат да се зајакне безбедноста на домашните средини и мрежи преку кои се одвиваат таквите интеракции.

Нацртот од 21 страница ќе се користи за да помогне „понатамошно идентификување на барањата на проектот, опсегот, заедно со хардверските и софтверските компоненти за употреба во лабораториска средина“, а NIST бара коментари од заинтересираните страни за подобро да го обликува проектот понатаму. Заинтересираните треба да достават коментар на или пред 4 октомври^th.[2]^{, [3]}

2. Амбулантски и специјализирани клиники сè повеќе насочени

Новиот извештај од Critical Insight, управуван давател на ИТ услуги за здравствена заштита, го привлекува вниманието на таргетирањето на амбулантските установи и специјализираните клиники од страна на малициозни сајбер актери. Нивната анализа на првата половина на 2021 година покренува неколку интересни прашања и повторува некои претпоставки за сајбер нападите во здравствениот сектор и злонамерните актери кои ги извршуваат.

На 23 страници Извештај за прекршување на здравствената заштита јануари-јуни 2021 година испитува кој во здравствениот сектор добива прекршување и како се таргетира здравствениот сектор.[4] Можеби најинтересното откритие во извештајот е дека „[o]амбулантски установи и специјализирани клиники беа пробиени речиси исто колку и болниците во H1 2021 година“.[5]

Critical Insight посочува дека е природно злонамерните актери да таргетираат организации со послаба одбрана, а помалите амбулантски и специјализирани организации обично немаат способност да трошат толку многу на сајбер безбедноста како поголемите болнички системи.[6] Ова ги прави овие помали организации особено привлечни цели бидејќи податоците за здравствената заштита рутински се на врвот на топ листите како највредни за криминалците и најскапи за жртвите. Истите овие причини за зголемен сајбер ризик веројатно се однесуваат на Business Associates, како што е дефинирано од HIPAA, бидејќи во извештајот е забележано дека тие сочинуваат 43% од прекршувањата на здравствената заштита, што е „продолжување на 3-годишниот нагорен тренд“.[7]^{, [8]}

Акција и анализа
**Потребно е членство **

3. Ransomware Playbook истури Conti Secrets

Од нашиот оддел „Без чест меѓу крадците“, откриваме дека минатиот месец, подружница на групата за откупни софтвер Конти протекола информации за сопствената инфраструктура на групата и 113 MB алатки и документи за обука.[9] Непотврдени извештаи сугерираат дека дотичниот ги објавил документите како одмазда, откако Конти му забранил затоа што го намамил бизнисот од нив во друга група.[10] Оттогаш, документите на руски јазик се преведени и тие сега даваат прозорец за тоа како подружниците на Conti добиваат инструкции да дејствуваат.

Според Bleeping Computer, неименуван безбедносен истражувач тврди дека датотеките содржеле „прирачник за распоредување на Cobalt Strike, мимикац за исфрлање хаш на NTLM и бројни други текстуални датотеки исполнети со различни команди“.[11] Оттогаш, други истражувачи потврдија дека документите добро се совпаѓаат со познатите методи и напади на Конти, што веројатно ја потврдува нивната легитимност.[12]

Витали Кремез, извршен директор на Advanced Intel и самонаречен етички хакер, изјави за Bleeping Computer дека „[т]импликациите се огромни и им дозволуваат на новите оператори за откупни софтвери да ги подигнат своите вештини за пентестер“ и дека „протекувањето исто така ја покажува зрелоста на нивната организација за откуп и колку се софистицирани, педантни и искусни“.[13]

Неодамна, истражувачите на Cisco Talos обезбедија ажуриран и коригиран превод на документите.[14] Прегледот на новиот превод ја потврдува темелноста на упатствата до тој степен што „[не]некои противници кои се многу нови во сцената на малициозен софтвер би можеле да ја следат оваа книга за да ја компромитираат големата, претпријатие мрежа со релативно мало искуство“.[15] Понатаму, Cisco Talos изјави дека документите „покажуваат блискост со околините на корпоративната мрежа, како на пример каде се наоѓаат ценетите средства и како да им пристапите. Ова е особено точно за американските и европските мрежи, за кои тие забележуваат дека имаат подобрена документација која обезбедува полесно таргетирање“.[16]

Акции и анализи
**Потребно е членство **

4. Не заборавајте на заканите од внатре

Колку сте подготвени за инсајдерски закани? Според новото истражување на Институтот Понемон спонзорирано од компанијата за сајбер безбедност DTEX Systems, има добри шанси да имате простор за подобрување.

Цитирајќи ги неодамнешните извештаи за прекршување на податоци и инциденти од висок профил во Тесла и Веркада како „[покажуваат] потреба од дополнителна едукација за тоа како да се идентификуваат и ублажат ризиците поврзани со инсајдерски закани“, Институтот Понемон спроведе истражување на 1,249 ИТ и ИТ безбедност професионалци во Северна Америка, Западна Европа и Австралија/Нов Зеланд.[17] Добиениот извештај од 6 страници, Состојбата на внатрешните закани 2021: Свеста за однесувањето и видливоста остануваат неостварливи, ја нагласува тешкотијата за адекватна одбрана од инсајдерски закани.

Извештајот покажува дека организациите можеби ќе можат да сторат повеќе и дека на многумина „ги пропуштаат раните предупредувачки знаци за инсајдерски закани и посакуваната крајна игра или намера на сторителите“.[18] Според Понемон, „огромното мнозинство на безбедносни закани следат шема или редослед на активност што води до напад, а инсајдерските закани не се исклучок“. Како таков, DTEX предложи ан Внатрешен синџир за убивање закани дека тие веруваат дека помага во обликувањето на огромното мнозинство на инсајдерски закани.

Според DTEX, синџирот на убиство со пет чекори вклучува:

• • • Извидување – да вклучи истражување каде се корисни податоци и тестирање на безбедносните контроли
    • Заобиколување – вклучува обиди да се заобиколат безбедносните контроли
    • Агрегација – вклучување на собирање на податоци во место за извлекување
    • Замаглување – вклучува обиди за сокривање на злонамерна активност
    • Ексфилтрација – вклучување рути за ексфилтрација на податоци

Преку оваа леќа, извештајот наведува дека 49% од организациите сметаат дека препознавањето на злонамерното извидување е многу тешко до невозможно да се открие. Ова ниво на тешкотија се протега и на препознавање предупредувачки знаци во Заобиколување (47%), Агрегација (53%), Замаглување (42%) и Ексфилтрација (40%).[19] Извештајот завршува со препораки за организациите да го подобрат своето безбедносно држење, да ги пополнат празнините во контролите и практиките за следење и да назначат крајна власт за справување со овој вид на ризик. Извештајот е слободно достапен за оние кои се заинтересирани да го разгледаат.

Акција и анализа

Конгресот -

Вторник, септември 7th:

– Нема релевантни расправи

Среда, септември 8th:

– Нема релевантни расправи

Четврток, 9 септември:

– Нема релевантни расправи

на меѓународно ниво Сослушувања/Состаноци -

– Нема релевантни состаноци

ЕУ -

Четврток, 9 септември:

– Европски парламент: Комитет за животна средина, јавно здравје и безбедност на храна – Состанок на Комитетот

Конференции, вебинари и самити -

https://h-isac.org/events/

Контактирајте не: следете @HealthISAC и е-пошта на contact@h-isac.org

[1] https://www.nccoe.nist.gov/sites/default/files/library/project-descriptions/hit-shi-project-description-draft.pdf

[2] https://www.nccoe.nist.gov/webform/comments-draft-project-description-mitigating-cybersecurity-risk-telehealth-smart-home

[3] https://content.govdelivery.com/accounts/USNIST/bulletins/2ee5ab0

[4] https://cybersecurity.criticalinsight.com/2021_healthcare_data_breach_report

[5] https://cybersecurity.criticalinsight.com/2021_healthcare_data_breach_report

[6] https://cybersecurity.criticalinsight.com/2021_healthcare_data_breach_report

[7] https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates/index.html

[8] https://cybersecurity.criticalinsight.com/2021_healthcare_data_breach_report

[9] https://www.bleepingcomputer.com/news/security/angry-conti-ransomware-affiliate-leaks-gangs-attack-playbook/

[10] https://www.bleepingcomputer.com/news/security/angry-conti-ransomware-affiliate-leaks-gangs-attack-playbook/

[11] https://www.bleepingcomputer.com/news/security/angry-conti-ransomware-affiliate-leaks-gangs-attack-playbook/

[12] https://www.bleepingcomputer.com/news/security/angry-conti-ransomware-affiliate-leaks-gangs-attack-playbook/

[13] https://www.bleepingcomputer.com/news/security/angry-conti-ransomware-affiliate-leaks-gangs-attack-playbook/

[14] https://www.bleepingcomputer.com/news/security/translated-conti-ransomware-playbook-gives-insight-into-attacks/

[15] https://blog.talosintelligence.com/2021/09/Conti-leak-translation.html

[16] https://blog.talosintelligence.com/2021/09/Conti-leak-translation.html

[17] https://www2.dtexsystems.com/ponemon-state-insider-threats-2021-report

[18] https://www2.dtexsystems.com/ponemon-state-insider-threats-2021-report

[19] https://www2.dtexsystems.com/ponemon-state-insider-threats-2021-report

• Поврзани ресурси и вести
• Health-ISAC Hacking Healthcare 4-14-2026
• Mythos и Like AI Tools ги зголемуваат влоговите за сајбер здравствената заштита
• Болница во Масачусетс ги одбива амбулантните возила по кибернапад
• Подкаст: Фил Енглерт за сајбер-безбедноста на медицинските помагала
• Внатрешната закана повторно се зголемува
• „Пропуштена можност“: Отсуството на американската влада од конференцијата на RSAC остава целосна празнина
• Health-ISAC Hacking Healthcare 3-26-2026
• Health-ISAC Hacking Healthcare 3-19-2026
• Месечен билтен на Health-ISAC – април, 2026 година
• Извештај по акцијата: Серија вежби за отпорност на здравјето-ISAC 2025