Ga naar hoofdinhoud

Gezondheid-ISAC Hacking Healthcare 6-15-2021

TLP White: Deze week, Hacken van de gezondheidszorg is gewijd aan het verzamelen en analyseren van de wervelwind van recente ransomware-ontwikkelingen in zowel de publieke als de private sector. Naast het uiteenzetten van wat er is gebeurd, citeren we nieuwe richtlijnen en aanbevelingen en geven we onze gedachten over hoe deze ontwikkelingen nuttig of niet nuttig zijn geweest bij het aanpakken van het ransomware-probleem.

Ter herinnering, dit is de publieke versie van de Hacking Healthcare blog. Voor aanvullende diepgaande analyses en meningen, word lid van H-ISAC en ontvang de TLP Amber versie van deze blog (beschikbaar in de Member Portal.)

 

Welkom terug bij Hacken van de gezondheidszorg.

 

1. Inleiding

Ransomware heeft geen moeite gehad om in de schijnwerpers te blijven staan, aangezien de afgelopen weken steeds meer opvallende incidenten zijn ontstaan. Overheidsinstanties en organisaties uit de particuliere sector doen hun best om de steeds nijpender wordende situatie aan te pakken, en de snelheid waarmee de algehele situatie zich ontwikkelt, kan het gemakkelijk maken om kritieke ontwikkelingen over het hoofd te zien. Met dit in gedachten hebben we deze editie van Hacken van de gezondheidszorg om recente ontwikkelingen op het gebied van ransomware te onderzoeken, de impact ervan op de particuliere sector te beoordelen en een aantal aanbevelingen te benadrukken die H-ISAC-leden wellicht waardevol vinden.

 

Reactie van de overheid

 

We beginnen met de regering-Biden. De regering heeft cybersecurity tot een prioriteitsgebied gemaakt en heeft geen tekort aan kritieke cybersecurity-incidenten gevonden om op te reageren. Ondanks dat de timing samenviel met de Colonial Pipeline-ransomwareaanval, waren de recente cybergerelateerde uitvoerende bevelen van de regering over Russische inmenging, uitdagingen in de toeleveringsketen en cybersecurity voornamelijk afgestemd op eerdere incidenten zoals SolarWinds en waren ze minder gericht op het probleem van ransomware. De regering-Biden heeft de afgelopen weken echter talloze stappen gezet om de aanhoudende golf van ransomware aan te pakken.

 

Ministerie van Justitie

 

Het Ministerie van Justitie (DOJ) is op dit gebied bijzonder actief.

 

Ransomware-taakgroep: Zoals we in een eerdere editie kort bespraken, werd er eind april een intern DOJ-memorandum uitgegeven waarin de oprichting van een ransomware-taskforce werd aangekondigd. Het memo erkende dat ransomware niet alleen een groeiende economische bedreiging vormde, maar ook een bedreiging voor de gezondheid en veiligheid van Amerikaanse burgers.[1] Er wordt gemeld dat dit memo zal leiden tot een betere uitwisseling van inlichtingen binnen het ministerie van Justitie, de ontwikkeling van een strategie die zich richt op elk aspect van het ransomware-ecosysteem en een proactievere aanpak in het algemeen.[2]

 

Ransomware-verhoging:De bovengenoemde strategie en aanpak werden begin juni gedeeltelijk onthuld, toen werd gemeld dat er verdere interne richtlijnen van het ministerie van Justitie waren verspreid, waarin werd gesteld dat onderzoeken naar ransomware-aanvallen eenzelfde prioriteit kregen als onderzoeken naar terrorisme.[3] Deze maatregel vereist dat ransomware-zaken en -onderzoeken centraal worden gecoördineerd met de ransomware-taskforce in Washington, D.C. Om ervoor te zorgen dat de verschillende belanghebbenden die bij ransomware-incidenten betrokken zijn, een zo goed mogelijk begrip en operationeel beeld krijgen.

 

Losgeldherstel: Toen Colonial Pipeline de losgeldeis in Bitcoin betaalde, gingen velen ervan uit dat de daders en het geld zo goed als weg waren. Een FBI-geleide operatie kon echter $ 2.3 miljoen in Bitcoin in beslag nemen dat als losgeld was betaald.[4] De FBI zou de bewegingen van het losgeld hebben gevolgd in een openbaar Bitcoin-grootboek en vervolgens toegang hebben gekregen tot de virtuele rekening waar het grootste deel van het geld terechtkwam.[5]

 

VS CYBERCOM

 

Buiten het ministerie van Justitie speelt het Amerikaanse Cyber ​​Command (CYBERCOM), wiens missie is om “de planning en operaties van cyberspace te sturen, synchroniseren en coördineren – om nationale belangen te verdedigen en te bevorderen – in samenwerking met binnenlandse en internationale partners,” ook een rol bij het reageren op ransomware-bedreigingen.[6]

 

Gehoor: Tijdens een virtuele hoorzitting afgelopen vrijdag ontkende generaal Nakasone, die zowel hoofd is van CYBERCOM als directeur van de NSA, dat er nieuwe bevoegdheden nodig zijn om cybercriminele groepen aan te pakken.[7] Hij verklaarde dat hij denkt dat hij “alle bevoegdheden heeft die ik nodig heb om inlichtingen te verzamelen over deze tegenstanders buiten de Verenigde Staten.”[8] Hij gaf echter aan dat de echte uitdaging, waar de regering-Biden mee worstelt, ligt in het delen en coördineren van informatie en actie met verschillende publieke en private belanghebbenden, en in het bepalen wie de leiding neemt over de algehele inspanningen. [9]

 

DHS

 

Richtlijnen – CISA: toenemende ransomware-dreiging voor OT-activa: Het toegenomen belang van ransomware heeft ook geleid tot de publicatie van aanvullende richtlijnen van de overheid, waaronder een CISA-factsheet met de titel, Toenemende ransomware-dreiging voor operationele technologische activa.[10] Het document van drie pagina's geeft een overzicht van de ransomware-dreiging, specifiek gericht op OT-middelen. Vervolgens worden de acties beschreven die organisaties moeten ondernemen om zich voor te bereiden op ransomware, deze te beperken en erop te reageren.

 

Ontwikkelingen in de particuliere sector

 

Er zijn de afgelopen weken ook een paar opvallende ransomware-ontwikkelingen geweest met betrekking tot de private sector. Helaas zijn deze ontwikkelingen eerder negatief dan positief. Hoogprofiel ransomware-aanvallen blijven resulteren in losgeldbetalingen van miljoenen dollars en het Amerikaanse Congres is zeer kritisch geweest over de manier waarop de private sector op incidenten heeft gereageerd.

 

IST Ransomware Task Force (RTF): De RTF, een groep van ongeveer 60 experts uit zowel de publieke als de private sector, publiceerde een rapport van 81 pagina's dat een gedetailleerd en grondig kader biedt voor de bestrijding van ransomware.[11] Dit document moet mensen informeren over de nuances van ransomware en tegelijkertijd praktische en uitvoerbare beleidsmaatregelen aanreiken.

 

De RTF is samengesteld door het Institute for Security and Technology (IST) en bestaat uit vertegenwoordigers van grote technologiebedrijven zoals Microsoft en Amazon, cybersecurityorganisaties zoals Rapid7, Palo Alto Networks, de Cybersecurity Coalition, de Cyber ​​Threat Alliance en de Global Cyber ​​Alliance, en overheidsorganisaties zoals het Britse National Cyber ​​Security Centre (NCSC) en de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA).

 

 

JBS en CNA: JBS, een van de grootste vleesverwerkers in de Verenigde Staten, werd onlangs een van de volgende spraakmakende ransomware-incidenten na Colonial Pipeline. De aanval had wijdverbreide gevolgen, aangezien JBS-activiteiten in Australië, Canada en de VS allemaal werden getroffen.[12] Uiteindelijk betaalde JBS een losgeld van ongeveer 11 miljoen dollar om ervoor te zorgen dat de daders geen bedrijfsgegevens zouden stelen.[13]

 

Deze betaling is echter niets vergeleken met de bijna 40 miljoen dollar die de verzekeringsorganisatie CNA Financial Corp. naar verluidt betaalde om “de controle over haar netwerk terug te krijgen na een ransomware-aanval.”[14] Hoewel de aanval vermoedelijk in maart heeft plaatsgevonden, werden de details over de betaling van het losgeld pas eind mei openbaar.

 

Congres spreekt afkeuring uit: Tijdens een congreshoorzitting vorige week gingen wetgevers herhaaldelijk in gesprek met CEO Joseph Blunt van Colonial Pipeline over de manier waarop ze reageerden op hun ransomware-incident. Sommige wetgevers beweerden dat vrijwillige cybersecurity-beoordelingen van de Transportation Security Administration door Colonial Pipeline werden geweigerd, waarbij Rep. Bonnie Watson Coleman (D) verklaarde: "Deze beoordelingen zo lang uitstellen komt neer op het afwijzen ervan, meneer."[15] Anderen waren het oneens met het besluit van de pijpleiding om niet onmiddellijk contact op te nemen met DHS en CISA en hun hulp bij de bergingswerkzaamheden niet te accepteren.[16] Een paar congresleden gingen zelfs zo ver dat ze zich afvroegen of vrijwillige cybersecuritynormen en een ‘hands-off’-benadering van kritieke infrastructuur nog steeds houdbaar waren.[17]

 

Actie & Analyse
**Lidmaatschap vereist**

 

 

Congres -

 

Dinsdag, Juni 15th:

– Geen relevante hoorzittingen

 

Woensdag, juni 16th:

– Senaat – Commissie voor Binnenlandse Veiligheid en Overheidszaken: Zakelijke vergadering om de nominaties te bespreken van Jen Easterly, voor de functie van directeur van het Cybersecurity and Infrastructure Security Agency, Department of Homeland Security, en Chris Inglis, voor de functie van National Cyber ​​Director.

 

-Huis van Afgevaardigden – Commissie voor Binnenlandse Veiligheid: Cyberdreigingen in de pijplijn: lessen uit de federale reactie op de Colonial Pipeline Ransomware-aanval

 

Donderdag 17 juni:

– Geen relevante hoorzittingen

 

Internationale Hoorzittingen/vergaderingen -

– Geen relevante vergaderingen

 

EU -

 

 

 

Conferenties, webinars en topconferenties –

 

 

https://h-isac.org/events/

 

Neem contact met ons op: volg @HealthISAC en stuur een e-mail naar contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Gerelateerde bronnen en nieuws