Оди до главна содржина

Health-ISAC Hacking Healthcare 6-15-2021

TLP White: Оваа недела, Хакирање здравство е посветен на собирање и анализа на виорот на неодамнешните случувања на ransomware и во јавниот и во приватниот сектор. Покрај разложувањето на она што се случувало, наведуваме нови насоки и препораки и ги даваме нашите размислувања за тоа како овие случувања биле корисни или некорисни во решавањето на проблемот со откупот.

За потсетување, ова е јавната верзија на блогот Hacking Healthcare. За дополнителна длабинска анализа и мислење, станете член на H-ISAC и добијте ја TLP Amber верзијата на овој блог (достапна на порталот за членови.)

 

Добредојдовте назад во Хакирање здравство.

 

1. Вовед

Ransomware немаше проблем да го задржи центарот на вниманието бидејќи инцидентите од висок профил продолжија да се зголемуваат во текот на изминатите неколку недели. Владините власти и организациите од приватниот сектор се обидуваат да ја решат сè полошата ситуација, а брзината со која се развива целокупната ситуација може да го олесни пропуштањето на критичните случувања. Имајќи го ова на ум, го посветивме ова издание на Хакирање здравство за испитување на неодамнешните случувања на ransomware, проценка на нивното влијание врз приватниот сектор и истакнување на голем број препораки за членовите на H-ISAC кои може да ги сметаат за вредни.

 

Одговор на владата

 

Почнуваме со администрацијата на Бајден. Администрацијата ја направи сајбер-безбедноста приоритетна област и не најде недостаток на критични инциденти за сајбер-безбедност на кои треба да одговори. И покрај тајмингот што се совпаѓа со нападот на откупниот софтвер на колонијалниот гасовод, неодамнешните извршни наредби на администрацијата поврзани со сајбер за руското мешање, предизвиците во синџирот на снабдување и сајбер безбедноста беа приспособени првенствено како одговор на претходни инциденти како SolarWinds и беа помалку фокусирани на прашањето за откупнина. . Сепак, во изминатите неколку недели администрацијата на Бајден презеде бројни чекори кон справување со неуморниот бран на откупни софтвери.

 

Одделот за правда

 

Министерството за правда (ДП) беше особено активно во оваа област.

 

Работна група за Ransomware: Како што накратко опфативме во претходното издание, кон крајот на април беше издаден внатрешен меморандум на DOJ кој го објави формирањето на работна група за откупни софтвери. Меморандумот призна дека откупниот софтвер не е само растечка економска закана, туку и закана за здравјето и безбедноста на американските граѓани.[1] Објавено е дека овој меморандум ќе доведе до подобрено споделување разузнавачки информации низ Министерството за правда, создавање стратегија која го таргетира секој аспект од екосистемот за откупни софтвери и попроактивен пристап во целина.[2]

 

Ransomware Elevation: Гореспоменатата стратегија и пристап беа делумно откриени на почетокот на јуни кога беше објавено дека циркулирале дополнителни внатрешни упатства на Министерството за правда што им дава на истрагите за нападите со откупни софтвер сличен приоритет на тероризмот.[3] Овој потег бара случаите и истрагите за откупни софтвери да бидат централно координирани со работната група за откупни софтвери во Вашингтон, со цел да се осигура дека може да се создаде најдобро можно разбирање и оперативна слика за различните засегнати страни вклучени во инциденти со откупни софтвери.

 

Обнова на откуп: Кога Colonial Pipeline го плати барањето за откуп во Биткоин, многумина претпоставуваа дека сторителите и парите се толку добри како исчезнати. Сепак, операција предводена од ФБИ успеа да заплени 2.3 милиони долари во биткоин исплатен како откуп.[4] ФБИ, наводно, го следело движењето на средствата за откуп на јавно видлива книга на биткоин, а потоа добил пристап до виртуелната сметка каде што завршил најголемиот дел од нив.[5]

 

САД САЈБЕРКОМ

 

Надвор од Министерството за правда, американската сајбер команда (CYBERCOM), чија мисија е „да го насочи, синхронизира и координира планирањето и операциите на сајбер просторот - за одбрана и унапредување на националните интереси - во соработка со домашни и меѓународни партнери“, исто така има улога во одговарање на закани за откуп.[6]

 

Сослушување: На виртуелното сослушување минатиот петок, генералот Накасоне, двојно омразен како шеф на CYBERCOM и директор на НСА, одби да има потреба од нови власти за да ги следат сајбер-криминалните групи.[7] Тој изјави дека мисли дека ги има „сите овластувања што ми се потребни за да можам да ги гонам разузнавачките против овие противници надвор од Соединетите држави“.[8] Сепак, конкретно зборувајќи за ransomware, тој пренесе дека вистинскиот предизвик, и оној низ кој работи администрацијата на Бајден, е како да се споделат и координираат разузнавачките информации и активности со различни јавни и приватни засегнати страни, истовремено одредувајќи кој ја презема водечката улога во севкупното напорите. [9]

 

DHS

 

Упатство – CISA: Зголемена закана од Ransomware за OT Assets: Зголемената важност на ransomware, исто така, доведе до објавување на дополнителни упатства од владата, вклучително и информативен лист на CISA со наслов, Зголемена закана од Ransomware за средствата за оперативна технологија.[10] Документот од три страници дава преглед на заканата за откуп, конкретно за средствата на ОТ, а потоа ги наведува активностите што организациите треба да ги преземат за да се подготват, ублажат и да одговорат на откупниот софтвер.

 

Случувања во приватниот сектор

 

Исто така, имаше неколку забележливи случувања за откупнина кои се однесуваат на приватниот сектор во последниве недели. За жал, овие случувања имаат тенденција да бидат повеќе негативни отколку позитивни. Нападите од висок профил на откупни софтвери продолжуваат да резултираат со откупнини од повеќе милиони долари, а Конгресот на САД беше многу критичен за тоа како приватниот сектор реагираше на инцидентите.

 

IST Ransomware Task Force (RTF): RTF, група од ~ 60 експерти од јавниот и приватниот сектор, објави извештај од 81 страница кој обезбедува детална и темелна рамка за борба против откупниот софтвер.[11] Овој документ треба да помогне да се едуцираат поединците за нијансите на откупниот софтвер, истовремено обезбедувајќи практични и акциони политички активности.

 

Собран од Институтот за безбедност и технологија (IST), RTF вклучува застапеност од големи технолошки фирми како Microsoft и Amazon; Организации за сајбер безбедност како Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber ​​Threat Alliance и Global Cyber ​​Alliance; и владини организации како Националниот центар за сајбер безбедност на Обединетото Кралство (NCSC) и Американската агенција за кибер-безбедност и инфраструктура за безбедност (CISA).

 

 

JBS и CNA: JBS, еден од најголемите преработувачи на месо во Соединетите Држави, неодамна стана еден од следните инциденти со откупни софтвери од висок профил по Colonial Pipeline. Нападот имаше широко распространето влијание, бидејќи, наводно, биле погодени операциите на JBS во Австралија, Канада и САД.[12] На крајот, JBS платил откуп од околу 11 милиони долари со намера да се осигура дека сторителите не ги украле податоците на компанијата.[13]

 

Сепак, таа исплата е бледа во споредба со речиси 40 милиони долари што осигурителната организација CNA Financial Corp., наводно, ги платила за „да ја врати контролата врз својата мрежа по нападот со откупни софтвери“.[14] Иако се чини дека тој напад се случил во март, деталите за исплата на откуп станаа јавни дури кон крајот на мај.

 

Конгресот гласови неодобрување: На сослушувањето во Конгресот минатата недела, пратениците постојано се ангажираа со извршниот директор на Colonial Pipeline Џозеф Блант на начинот на кој тие реагираа на нивниот инцидент со откупнина. Некои пратеници тврдеа дека доброволните прегледи за сајбер безбедноста на Администрацијата за транспортна безбедност биле одбиени од страна на Колонијалниот гасовод, при што претставникот Бони Вотсон Колман (Д) изјави: „Одложувањето на овие проценки толку долго значи нивно отфрлање, господине“.[15] Други се спротивставија на одлуката на гасоводот веднаш да не допре до DHS и CISA или да не ја прифати нивната помош во операциите за обновување.[16] Неколку членови на конгресот отидоа дотаму што се запрашаа дали доброволните стандарди за сајбер-безбедност и пристапот „од раце“ кон критичната инфраструктура сè уште се издржани.[17]

 

Акција и анализа
**Потребно е членство **

 

 

Конгресот -

 

Вторник, 15 јуни:

– Нема релевантни расправи

 

Среда, 16 јуни:

– Сенат – Комисија за домашна безбедност и владини прашања: Деловен состанок на кој ќе се разгледаат номинациите на Џен Истерли, за директор на Агенцијата за сајбер-безбедност и инфраструктурна безбедност, Одделот за домашна безбедност, и Крис Инглис за национален сајбер директор.

 

-Претставнички дом - Комитет за домашна безбедност: Сајбер закани во нафтоводот: Лекции од федералниот одговор на нападот со откупни софтвери на колонијалниот гасовод

 

Четврток, 17 јуни:

– Нема релевантни расправи

 

на меѓународно ниво Сослушувања/Состаноци -

– Нема релевантни состаноци

 

ЕУ -

 

 

 

Конференции, вебинари и самити -

 

 

https://h-isac.org/events/

 

Контактирајте не: следете @HealthISAC и е-пошта на contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Поврзани ресурси и вести
Health-ISAC Hacking Healthcare 6-22-2021
Health-ISAC Hacking Healthcare 6-8-2021