Health-ISAC Hacking Healthcare 6-15-2021
TLP White: Denne uken, Hacking Healthcare er dedikert til å samle og analysere virvelvinden av nyere løsepengevareutvikling i både offentlig og privat sektor. I tillegg til å bryte ned hva som har skjedd, siterer vi nye veiledninger og anbefalinger og gir våre tanker om hvordan denne utviklingen har vært nyttig eller lite nyttig for å løse løsepengevareproblemet.
Som en påminnelse er dette den offentlige versjonen av Hacking Healthcare-bloggen. For ytterligere dybdeanalyse og meninger, bli medlem av H-ISAC og motta TLP Amber-versjonen av denne bloggen (tilgjengelig i medlemsportalen.)
Velkommen tilbake til Hacking Healthcare.
1. Innledning
Ransomware har ikke hatt noen problemer med å opprettholde søkelyset ettersom høyprofilerte hendelser har fortsatt å øke de siste ukene. Offentlige myndigheter og organisasjoner i privat sektor kjemper for å møte den stadig mer alvorlige situasjonen, og hastigheten som den generelle situasjonen utvikler seg med kan gjøre det lett å gå glipp av kritiske utviklinger. Med dette i tankene har vi dedikert denne utgaven av Hacking Healthcare å undersøke nyere løsepengevareutvikling, vurdere deres innvirkning på privat sektor, og fremheve en rekke anbefalinger som H-ISAC-medlemmer kan finne verdifulle.
Regjeringens svar
Vi starter med Biden-administrasjonen. Administrasjonen har gjort cybersikkerhet til et prioritert problemområde og har ikke funnet mangel på kritiske cybersikkerhetshendelser å reagere på. Til tross for tidspunktet som falt sammen med Colonial Pipeline løsepengevare-angrepet, ble administrasjonens nylige cyberrelaterte ordre om russisk innblanding, forsyningskjedeutfordringer og cybersikkerhet skreddersydd først og fremst som et svar på tidligere hendelser som SolarWinds og var mindre fokusert på spørsmålet om løsepengevare. . Imidlertid har Biden-administrasjonen i løpet av de siste ukene tatt en rekke skritt for å ta tak i den ubøyelige bølgen av løsepengevare.
Department of Justice
Justisdepartementet (DOJ) har vært spesielt aktiv på dette området.
Ransomware Task Force: Som vi kort omtalte i en tidligere utgave, ble det utstedt et internt DOJ-memo i slutten av april som kunngjorde dannelsen av en løsepengevaregruppe. Notatet anerkjente at løsepengevare ikke bare var en økende økonomisk trussel, men også en trussel mot helsen og sikkerheten til amerikanske borgere.[1] Det har blitt rapportert at dette notatet vil føre til forbedret intelligensdeling på tvers av DOJ, opprettelsen av en strategi som retter seg mot alle aspekter av løsepengevare-økosystemet, og en mer proaktiv tilnærming generelt.[2]
Løftevarehøyde: Den nevnte strategien og tilnærmingen ble delvis avduket i begynnelsen av juni da det ble rapportert at ytterligere intern DOJ-veiledning ble sirkulert som ga etterforskning av løsepengevareangrep en lignende prioritet som terrorisme.[3] Flyttingen krever at løsepengevaresaker og undersøkelser koordineres sentralt med løsepengevaregruppen i Washington, DC for å sikre at best mulig forståelse og operasjonelt bilde kan skapes for de ulike interessentene som er involvert i løsepengevarehendelser.
Gjenoppretting av løsepenger: Da Colonial Pipeline betalte løsepengekravet i Bitcoin, antok mange at gjerningsmennene og pengene var så godt som borte. En FBI-ledet operasjon klarte imidlertid å beslaglegge 2.3 millioner dollar i Bitcoin utbetalt i løsepenger.[4] FBI sporet angivelig bevegelsen av løsepenger på en offentlig synlig Bitcoin-bok og fikk deretter tilgang til den virtuelle kontoen der det meste havnet.[5]
US CYBERCOM
Utenfor DOJ, har US Cyber Command (CYBERCOM), hvis oppgave er å "dirigere, synkronisere og koordinere cyberspace-planlegging og -operasjoner - for å forsvare og fremme nasjonale interesser - i samarbeid med innenlandske og internasjonale partnere", også en rolle å spille i reagerer på løsepengevaretrusler.[6]
Hørsel: I en virtuell høring forrige fredag, avviste general Nakasone, med to hatter som både sjef for CYBERCOM og direktør for NSA, å trenge nye myndigheter for å gå etter nettkriminelle grupper.[7] Han uttalte at han tror han har "alle myndighetene jeg trenger for å kunne straffeforfølge etterretningsmessig mot disse motstanderne utenfor USA."[8] Men spesifikt når han snakket om løsepengevare, fortalte han at den virkelige utfordringen, og den som Biden-administrasjonen jobber gjennom, er hvordan man kan dele og koordinere etterretning og handling med ulike offentlige og private interessenter, samtidig som han bestemmer hvem som tar ledelsen generelt. innsats. [9]
DHS
Veiledning – CISA: Rising Ransomware Threat to OT Assets: Den økte betydningen av løsepengevare har også ført til publisering av ytterligere veiledning fra myndighetene, inkludert et CISA-faktaark med tittelen, Økende ransomware-trussel mot operasjonelle teknologiske eiendeler.[10] Det tre sider lange dokumentet gir en oversikt over løsepengevare-trusselen, spesielt til OT-ressurser, og skisserer deretter handlinger organisasjoner bør ta for å forberede seg på, redusere og svare på løsepengevare.
Utviklingen i privat sektor
Det har også vært noen bemerkelsesverdige løsepengevareutviklinger knyttet til privat sektor de siste ukene. Dessverre har denne utviklingen hatt en tendens til å være mer negativ enn positiv. Høyprofilerte løsepengeangrep fortsetter å resultere i løsepenger på flere millioner dollar, og den amerikanske kongressen har vært svært kritisk til hvordan privat sektor har reagert på hendelser.
IST Ransomware Task Force (RTF): RTF, en gruppe på ~60 eksperter fra både offentlig og privat sektor, ga ut en 81-siders rapport som gir et detaljert og grundig rammeverk for å bekjempe løsepengevare.[11] Dette dokumentet skal bidra til å utdanne enkeltpersoner om nyansene til løsepengevare, samtidig som det gir praktiske og handlingsrettede politiske handlinger.
Samlet av Institute for Security and Technology (IST), inkluderer RTF representasjon fra store teknologifirmaer som Microsoft og Amazon; cybersikkerhetsorganisasjoner som Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber Threat Alliance og Global Cyber Alliance; og offentlige organisasjoner som UK National Cyber Security Center (NCSC) og US Cybersecurity and Infrastructure Security Agency (CISA).
JBS og CNA: JBS, en av de største kjøttbehandlerne i USA, ble nylig en av de neste høyprofilerte ransomware-hendelsene etter Colonial Pipeline. Angrepet hadde omfattende konsekvenser, ettersom JBS-operasjoner i Australia, Canada og USA alle ble rapportert berørt.[12] Til syvende og sist betalte JBS løsepenger på rundt 11 millioner dollar i den hensikt å sikre at gjerningsmennene ikke stjal firmadata.[13]
Imidlertid blekner denne betalingen i forhold til de nesten 40 millioner dollar som forsikringsorganisasjonen CNA Financial Corp. skal ha betalt ut for å «gjenvinne kontrollen over nettverket sitt etter et løsepengevareangrep».[14] Selv om angrepet ser ut til å ha skjedd i mars, ble detaljer om løsepenger først offentliggjort i slutten av mai.
Kongressens stemmer avvisning: I en kongresshøring i forrige uke snakket lovgivere gjentatte ganger med administrerende direktør i Colonial Pipeline, Joseph Blunt, om måten de reagerte på deres løsepengevarehendelse. Noen lovgivere hevdet at frivillige cybersikkerhetsvurderinger fra Transportation Security Administration ble nektet av Colonial Pipeline, med rep. Bonnie Watson Coleman (D) som uttalte: «Å utsette disse vurderingene så lenge betyr å avslå dem, sir.»[15] Andre tok et problem med rørledningens beslutning om ikke umiddelbart å kontakte DHS og CISA eller godta deres assistanse i utvinningsoperasjoner.[16] Noen få kongressmedlemmer gikk så langt som å stille spørsmål ved om frivillige nettsikkerhetsstandarder og en "hands-off" tilnærming til kritisk infrastruktur fortsatt var holdbar.[17]
Handling og analyse
**Krever medlemskap**
Kongressen -
Tirsdag, juni 15th:
– Ingen relevante høringer
Onsdag, juni 16th:
– Senatet – Komiteen for hjemmesikkerhet og regjeringsspørsmål: Forretningsmøte for å vurdere nominasjonene til Jen Easterly, til direktør for Cybersecurity and Infrastructure Security Agency, Department of Homeland Security, og Chris Inglis, som nasjonal cyberdirektør.
-Representantenes hus – Komiteen for hjemmesikkerhet: cybertrusler i rørledningen: Leksjoner fra den føderale responsen på det koloniale pipeline-ransomwareangrepet
Torsdag 17. juni:
– Ingen relevante høringer
internasjonalt Høringer/møter -
– Ingen relevante møter
EU -
Konferanser, webinarer og toppmøter –
Kontakt oss: følg @HealthISAC, og send e-post til contact@h-isac.org
[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/
[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html
[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj
[6] https://www.cybercom.mil/About/Mission-and-Vision/
[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf
[11] https://securityandtechnology.org/ransomwaretaskforce/
[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack
[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
- Relaterte ressurser og nyheter