Przejdź do głównej zawartości

H-ISAC Hacking Healthcare 2-9-2021

TLP White: W tym tygodniu Hackowanie opieki zdrowotnej zaczynamy od kolejnego spojrzenia na ransomware. Konkretnie analizujemy trendy, które pojawiły się w ciągu ostatniego roku, dane z ostatniego kwartału 2020 r. i to, co mówią nam o tym, w jakim kierunku zmierzają sprawy, oraz dlaczego ransomware stające się mniej lukratywne dla cyberprzestępców może być w rzeczywistości szkodliwe dla sektora opieki zdrowotnej. Kończymy, rozkładając na czynniki pierwsze niekonwencjonalne cybernetyczne „zagrożenie”, które może zaszkodzić wdrażaniu szczepień, i dlaczego rozwiązania mogą nie być tak łatwe do znalezienia.

Przypominamy, że jest to publiczna wersja bloga Hacking Healthcare. Aby uzyskać bardziej dogłębną analizę i opinię, zostań członkiem H-ISAC i otrzymaj wersję TLP Amber tego bloga (dostępną w Portalu Członków).

 

Witaj zpowrotem w Hackowanie opieki zdrowotnej.

 

1. Przegląd oprogramowania ransomware z 2020 r.

Wydaje się, że można bezpiecznie założyć, że ransomware nadal będzie plagą w 2021 r., ale niektóre niedawno opublikowane informacje sugerują, że ewoluujące metody i taktyki pomogą zapewnić, że sytuacja pozostanie płynna. Kilka ostatnich raportów pomogło umieścić skalę problemu w kontekście, a ogromny wpływ ransomware na sektor opieki zdrowotnej nie jest zaskoczeniem. Istnieje kilka godnych uwagi wniosków z tych danych, w tym potencjalnie zachęcające wiadomości sugerujące, że ataki ransomware stają się mniej lukratywne dla sprawców. Jednak nasza sekcja analizy zbada, dlaczego może to nie oznaczać korzyści dla sektora opieki zdrowotnej.

 

Podsumować

 

Najpierw szybko podsumujmy, jak wygląda sytuacja. Wyzwania, z którymi zmagał się sektor opieki zdrowotnej, były ogromne w ciągu ostatniego roku, a cyberprzestępcy z pewnością nie ułatwili radzenia sobie z COVID-19. VMware Carbon Black zgłosiło 239.4 miliona prób cyberataków na swoich klientów z branży opieki zdrowotnej w samym 2020 r., co zakończyło się niemal niewiarygodną statystyką, że „podmioty opieki zdrowotnej odnotowały 816 ataków na punkt końcowy w zeszłym roku, co stanowi niesamowity wzrost o 9,851 procent w porównaniu z 2019 r.”.[1] Informacja ta pojawiła się zaledwie kilka tygodni po tym, jak firma zajmująca się cyberbezpieczeństwem Emsisoft poinformowała, że ​​w 560 r. co najmniej 2020 placówek służby zdrowia padło ofiarą ataku ransomware.[2]

 

Niestety, najbardziej rozpowszechnionym ransomware atakującym sektor opieki zdrowotnej wydaje się być Cerber. Cerber, który rozpanoszył się w 2017 r., znacznie spadł do 2018 r., zanim ponownie wystartował w zeszłym roku i odpowiadał za 58% ataków ransomware na klientów VMware Carbon Black z sektora opieki zdrowotnej.[3] Chociaż Carbon Black zauważył, że Cerber przeszedł aktualizacje i adaptacje, niektóre sukcesy wariantów w 2020 r. są niemal na pewno związane z niezałatanymi lukami w zabezpieczeniach, co po raz kolejny wskazuje na dodatkowe trudności w zakresie cyberbezpieczeństwa w sektorze opieki zdrowotnej.[4]

 

Pozytywny znak z niebezpiecznym potencjałem

 

Kończąc potencjalnie dobrą wiadomością, firma Coveware, zajmująca się reagowaniem na ataki ransomware i odzyskiwaniem danych, opublikowała swoje Kwartalny raport o oprogramowaniu ransomware za Q4 2020 w zeszły poniedziałek. Najważniejszym wnioskiem wydaje się być ich raport, że płatności ransomware znacznie spadły. Według ich liczb średnia płatność ransomware spadła o około 34% od Q3 2020, do 154,108 233,817 USD z XNUMX XNUMX USD.[5] Dodatkowo, mediana płatności za oprogramowanie ransomware w IV kwartale spadła o ok. 4%, do 55 49,450 USD z 110,532 XNUMX USD.[6]

 

Przed opublikowaniem najnowszego raportu firma Coveware odnotowywała stały wzrost średnich i median płatności z tytułu oprogramowania ransomware, począwszy od czwartego kwartału 4 r.[7] Coveware przypisuje ostatni spadek częściowo erozji zaufania, że ​​aktorzy ransomware, którzy eksfiltrują dane, faktycznie je usuną po otrzymaniu okupu. Liczne przykłady „usuniętych” danych odsprzedanych na czarnym rynku lub użytych do ponownego przetrzymywania organizacji dla okupu zmieniły rachunek ryzyka dla ofiar ransomware.

 

Chociaż pełny raport zawiera znacznie więcej informacji, naszą uwagę przykuło kilka interesujących uwag. Po pierwsze, phishing e-mailowy nadal rośnie jako wektor ataku, przekraczając granicę 50% i wyprzedzając naruszenie RDP. Po drugie, około 70% ataków ransomware w Q4 obejmowało groźbę wycieku wykradzionych danych, co stanowi wzrost o 20 punktów procentowych w porównaniu z Q3.[8] Co więcej, Coveware informuje, że złośliwi aktorzy posuwają się tak daleko, że „fabrykują eksfiltrację danych w przypadkach, w których do niej nie doszło”. Jednak najbardziej niepokojącą informacją może być zgłoszony przez Coveware wzrost „liczby przypadków nieodwracalnego niszczenia danych w przeciwieństwie do celowego niszczenia kopii zapasowych lub szyfrowania krytycznych systemów”.[9]

 

Akcja i analiza

**Wymagane członkostwo**

 

 

2. Opieka zdrowotna stoi w obliczu niekonwencjonalnego cyberzagrożenia

Podczas gdy zespoły ds. cyberbezpieczeństwa i IT w sektorze opieki zdrowotnej stoją już przed trudnym wyzwaniem zapewnienia prywatności i bezpieczeństwa swoich sieci oraz danych w obliczu wszelkiego rodzaju tradycyjnych zagrożeń ze strony państwa i podmiotów niepaństwowych, może istnieć inne, niekonwencjonalne wyzwanie techniczne, w którym ich umiejętności mogą okazać się przydatne.

 

W pośpiechu, aby zaszczepić całe kraje, organizacje opieki zdrowotnej stają przed bezprecedensowym zadaniem administracyjnym i logistycznym, jakim jest organizowanie wizyt dla pacjentów, jednocześnie dążąc do jak najmniejszego marnotrawstwa cennych dawek szczepionki. Aby pomóc w tym wysiłku, wiele organizacji korzysta z jakiejś formy portalu internetowego lub harmonogramu. Departament Zdrowia i Opieki Społecznej USA (HHS) wydał nawet zawiadomienie o uznaniowości egzekwowania prawa dla Aplikacje do planowania online lub w sieci.[10] Niestety, te harmonogramy padły ofiarą ataków „botów” organizowanych przez spekulantów.

 

Według Reutersa „amerykańscy sprzedawcy detaliczni i apteki, takie jak Walgreens i CVS Health, przygotowują się na kolejną falę ataków „botów” ze strony spekulantów, którzy mają nadzieję na wykupienie terminów szczepień przeciwko COVID-19”.[11] Chociaż tego typu zachowanie jest znane każdemu, kto próbuje kupić produkty o ograniczonej ilości, takie jak najnowszy gadżet technologiczny lub bilety na wydarzenia sportowe, obie te okoliczności są łatwiej sklasyfikowane jako irytujące. Tego samego nie można powiedzieć, jeśli takie zachowanie zacznie znacząco wpływać na wdrażanie szczepień.

 

Według Reutersa „[w] ostatnich tygodniach ludzie dzielili się w mediach społecznościowych przerażającymi historiami o próbach zabezpieczenia terminów szczepień ze źródeł rządowych, a niektórzy obwiniali boty za awarie witryn i kradzieże miejsc”. Zarówno Walgreens, jak i CVS wskazały, że są świadome problemu i wdrożyły wiele środków obronnych w celu wykrycia i zapobiegania.

 

Akcja i analiza
**Wymagane członkostwo**

 

 

Kongres -

 

Wtorek, luty 9th:

– Brak odpowiednich przesłuchań

 

Środa, luty 10th:

– Izba Reprezentantów – Przesłuchanie Komisji ds. Bezpieczeństwa Wewnętrznego: Cyberbezpieczeństwo kraju: ocena zagrożeń cybernetycznych i budowanie odporności

 

 

Czwartek, 11 lutego:

– Brak odpowiednich przesłuchań

 

 

na świecie Przesłuchania/Spotkania -

 

– Brak odpowiednich przesłuchań

 

 

UE -

 

– Brak odpowiednich przesłuchań

 

 

 

Różne –

 

 

 

 

Konferencje, webinaria i szczyty –       

 

 

https://h-isac.org/events/

 

Skontaktuj się z nami: obserwuj @HealthISAC i napisz na adres contact@h-isac.org

 

[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point

[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020

[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf

[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S

  • Powiązane zasoby i wiadomości
Zdrowie-ISAC Hacking Opieka zdrowotna 2-16-2021
Microsoft wzywa klientów do naprawy krytycznych błędów TCP/IP w systemie Windows