H-ISAC Hacking Healthcare 2-9-2021
TLP White: Denne uken, Hacking Healthcare begynner med en ny titt på løsepengevare. Spesifikt analyserer vi trender som dukket opp gjennom det siste året, data fra siste kvartal av 2020 og hva det forteller oss om hvor ting er på vei, og hvorfor løsepengeprogramvare blir mindre lukrativt for nettkriminelle faktisk kan være skadelig for helsesektoren. Vi avslutter med å bryte ned en utradisjonell "cybertrussel" som har potensial til å skade utrullingen av vaksiner, og hvorfor løsninger kanskje ikke er så enkle å komme med.
Som en påminnelse er dette den offentlige versjonen av Hacking Healthcare-bloggen. For ytterligere dybdeanalyse og meninger, bli medlem av H-ISAC og motta TLP Amber-versjonen av denne bloggen (tilgjengelig i medlemsportalen.)
Velkommen tilbake til Hacking Healthcare.
1. Ransomware-gjennomgang 2020
Det virker som en sikker innsats at løsepengevare vil fortsette å være en plage i 2021, men noe nylig utgitt informasjon tyder på at utviklende metoder og taktikker vil bidra til å sikre at situasjonen forblir flytende. En rekke nylige rapporter har bidratt til å sette omfanget av problemet inn i kontekst, og den store effekten løsepengeprogramvare har hatt på helsesektoren er ingen overraskelse. Det er flere bemerkelsesverdige takeaways fra disse dataene, inkludert potensielt oppmuntrende nyheter som antyder at løsepenge-angrep blir mindre lukrative for gjerningsmenn. Imidlertid vil vår analysedel undersøke hvorfor det kanskje ikke signaliserer en fordel for helsesektoren.
Oppsummering
Først, la oss raskt oppsummere hvor ting står. Utfordringene helsesektoren står overfor har vært enorme det siste året, og cyberkriminelle har absolutt ikke gjort det enklere å håndtere COVID-19. VMware Carbon Black rapporterte 239.4 millioner forsøk på nettangrep mot sine egne helsekunder alene i 2020, og kulminerte i den nesten utrolige statistikken at «helsevesenet så 816 angrep per endepunkt i fjor, en utrolig økning på 9,851 prosent fra 2019».[1] Denne informasjonen kommer bare uker etter at cybersikkerhetsfirmaet Emsisoft rapporterte at minst 560 helsetjenester ble rammet av løsepengevare i 2020.[2]
Forstemmende nok ser det ut til at den mest utbredte løsepengevaren som rammer helsesektoren, har vært Cerber. Utbredt i 2017, hadde Cerber falt betydelig innen 2018, før han tok av igjen i fjor og sto for 58 % av løsepengeangrepene mot VMware Carbon Blacks kunder i helsesektoren.[3] Mens Carbon Black bemerket at Cerber hadde gjennomgått oppdateringer og tilpasninger, er noen av variantenes suksesser i 2020 nesten helt sikkert knyttet til uopprettede sårbarheter, noe som igjen fremhever en ekstra vanskelighet med cybersikkerhet i helsesektoren.[4]
Et positivt tegn med farlig potensial
Ender med potensielt gode nyheter, ransomware respons og gjenopprettingsfirmaet Coveware ga ut sine Kvartalsvis Ransomware-rapport for fjerde kvartal 4 forrige mandag. Den viktigste takeawayen ser ut til å være deres rapportering om at ransomware-betalinger har falt betydelig. Etter deres tall falt den gjennomsnittlige løsepengevarebetalingen med omtrent 2020 % fra tredje kvartal 34, ned til $3 fra $2020.[5] I tillegg så median ransomware-betalingen i Q4 et enda større fall på omtrent 55 %, ned til $49,450 fra $110,532.[6]
Før denne nyeste rapporten hadde Coveware tidligere rapportert jevne økninger i gjennomsnittlig og median løsepengevarebetalinger tilbake til Q4 2018.[7] Coveware tilskriver den nylige nedgangen delvis til erosjonen av tilliten til at løsepengevareaktører som eksfiltrerer data faktisk vil slette dem når de mottar løsepenger. Tallrike eksempler på "slettede" data som selges videre på det svarte markedet, eller brukes til å holde en organisasjon for løsepenger for andre gang, har endret risikoberegningen for løsepenge-ofre.
Selv om hele rapporten inneholder mye mer informasjon, fanget noen interessante notater våre øyne. For det første fortsetter e-postphishing sin stigning som en angrepsvektor, bryter 50%-merket og forbigår RDP-kompromiss. For det andre involverte omtrent 70 % av løsepengevareangrepene i Q4 en trussel om å lekke eksfiltrerte data, en økning på 20 prosentpoeng i forhold til Q3.[8] Videre rapporterer Coveware at ondsinnede aktører går så langt som å "fabrikere dataeksfiltrering i tilfeller der det ikke skjedde." Imidlertid kan den mest bekymringsfulle informasjonen være Covewares rapporterte økning i "økningen i forekomsten av irreversibel dataødeleggelse i motsetning til bare målrettet ødeleggelse av sikkerhetskopier eller kryptering av kritiske systemer."[9]
Handling og analyse
**Krever medlemskap**
2. Helsevesenet står overfor en ikke-tradisjonell "cybertrussel"
Mens cybersikkerhets- og IT-team i helsesektoren allerede står overfor den skremmende utfordringen med å opprettholde personvernet og sikkerheten til nettverkene og dataene sine i møte med alle slags tradisjonelle statlige og ikke-statlige trusler, kan det være en annen utradisjonell teknisk utfordring der deres ferdigheter kan være nyttig.
I hastverket med å få hele land vaksinert, står helseorganisasjoner overfor den enestående administrative og logistiske oppgaven med å organisere avtaler for pasienter mens de streber etter minst mulig sløsing med dyrebare vaksinedoser. For å hjelpe til med denne innsatsen har mange organisasjoner brukt en eller annen form for nettportal eller planlegger. Det amerikanske departementet for helse og menneskelige tjenester (HHS) ga til og med ut et varsel om håndhevelsesskjønn for Online eller nettbaserte planleggingsapplikasjoner.[10] Dessverre har disse planleggerne blitt offer for "bot"-angrep orkestrert av scalpere.
I følge Reuters forbereder amerikanske forhandlere og apoteker som Walgreens og CVS Health seg på en ny runde med "bot"-angrep fra scalpers som håper å få tak i covid-19-vaksineavtaler."[11] Selv om denne typen oppførsel er kjent for alle som prøver å kjøpe mengdebegrensede varer, som den nyeste teknologiske gadgeten eller billetter til sportsbegivenheter, blir begge disse omstendighetene lettere kategorisert som irriterende. Det samme kan ikke sies hvis slik oppførsel begynner å påvirke utrullingen av vaksiner betydelig.
I følge Reuters, "[i]de siste ukene har folk delt skrekkhistorier på sosiale medier om forsøk på å sikre vaksinasjonsavtaler fra myndighetskilder, med noen som gir boter skylden for nettstedkrasj og stjålne spilleautomater." Både Walgreens og CVS har indikert at de er klar over problemet og har innført flere forsvar for oppdagelse og forebygging.
Handling og analyse
**Krever medlemskap**
Kongressen -
Tirsdag februar 9:
– Ingen relevante høringer
Onsdag, februar 10th:
– Representantenes hus – Høringsutvalg for hjemmesikkerhet: Homeland Cybersecurity: Vurdere cybertrusler og bygge motstandskraft
Torsdag 11. februar:
– Ingen relevante høringer
internasjonalt Høringer/møter -
– Ingen relevante høringer
EU -
– Ingen relevante høringer
Diverse –
Konferanser, webinarer og toppmøter –
Kontakt oss: følg @HealthISAC, og send e-post til contact@h-isac.org
[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point
[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020
[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf
[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S
- Relaterte ressurser og nyheter