Przejdź do głównej zawartości

Zdrowie-ISAC Hacking Opieka zdrowotna 6-15-2021

TLP White: W tym tygodniu Hackowanie opieki zdrowotnej jest poświęcony agregowaniu i analizowaniu wiru ostatnich wydarzeń związanych z ransomware w sektorze publicznym i prywatnym. Oprócz rozbicia tego, co się działo, cytujemy nowe wytyczne i zalecenia oraz przedstawiamy nasze przemyślenia na temat tego, w jaki sposób te wydarzenia były pomocne lub niepomocne w rozwiązaniu problemu ransomware.

Przypominamy, że jest to publiczna wersja bloga Hacking Healthcare. Aby uzyskać bardziej dogłębną analizę i opinię, zostań członkiem H-ISAC i otrzymaj wersję TLP Amber tego bloga (dostępną w Portalu Członków).

 

Witaj zpowrotem w Hackowanie opieki zdrowotnej.

 

1. Wstęp

Ransomware nie miał problemu z utrzymaniem się w centrum uwagi, ponieważ w ciągu ostatnich kilku tygodni narastały głośne incydenty. Władze rządowe i organizacje sektora prywatnego starają się rozwiązać coraz poważniejszą sytuację, a szybkość, z jaką rozwija się ogólna sytuacja, może sprawić, że łatwo przegapić kluczowe wydarzenia. Mając to na uwadze, poświęciliśmy to wydanie Hackowanie opieki zdrowotnej do zbadania ostatnich wydarzeń związanych z oprogramowaniem ransomware, oceny ich wpływu na sektor prywatny i podkreślenia szeregu rekomendacji, które członkowie H-ISAC mogą uznać za cenne.

 

Odpowiedź rządu

 

Zacznijmy od administracji Bidena. Administracja uczyniła cyberbezpieczeństwo priorytetowym obszarem i nie znalazła niedoboru krytycznych incydentów cyberbezpieczeństwa, na które trzeba zareagować. Pomimo zbiegu czasu z atakiem ransomware na Colonial Pipeline, ostatnie zarządzenia wykonawcze administracji dotyczące cyberataków na ingerencję Rosji, wyzwania związane z łańcuchem dostaw i cyberbezpieczeństwem zostały dostosowane przede wszystkim jako odpowiedź na wcześniejsze incydenty, takie jak SolarWinds, i były mniej skoncentrowane na kwestii ransomware. Jednak w ciągu ostatnich kilku tygodni administracja Bidena podjęła liczne kroki w celu rozwiązania nieustającej fali ransomware.

 

Departament Sprawiedliwości

 

Departament Sprawiedliwości (DOJ) wykazał się szczególną aktywnością w tym obszarze.

 

Grupa zadaniowa ds. Oprogramowania ransomware: Jak pokrótce opisaliśmy we wcześniejszym wydaniu, pod koniec kwietnia wydano wewnętrzną notatkę Departamentu Sprawiedliwości, w której ogłoszono utworzenie zespołu zadaniowego ds. oprogramowania ransomware. Notatka uznała, że ​​oprogramowanie ransomware stanowi nie tylko rosnące zagrożenie ekonomiczne, ale także zagrożenie dla zdrowia i bezpieczeństwa obywateli amerykańskich.[1] Doniesiono, że notatka ta doprowadzi do usprawnienia wymiany informacji wywiadowczych w ramach Departamentu Sprawiedliwości, opracowania strategii obejmującej każdy aspekt ekosystemu oprogramowania ransomware oraz bardziej proaktywnego podejścia.[2]

 

Podniesienie poziomu zagrożenia ransomware:Wspomniana strategia i podejście zostały częściowo ujawnione na początku czerwca, kiedy pojawiła się informacja, że ​​Departament Sprawiedliwości wydał wewnętrzne wytyczne, zgodnie z którymi dochodzenia w sprawie ataków ransomware będą traktowane na równi z dochodzeniami w sprawie terroryzmu.[3] Zgodnie z tą decyzją przypadki ataków ransomware i prowadzone w ich ramach dochodzenia muszą być centralnie koordynowane z grupą zadaniową ds. ataków ransomware w Waszyngtonie, aby zapewnić jak najlepsze zrozumienie sytuacji i obraz operacyjny dla różnych stron zaangażowanych w incydenty związane z atakami ransomware.

 

Odzyskiwanie okupu:Kiedy Colonial Pipeline zapłacił okup w Bitcoinach, wielu założyło, że sprawcy i pieniądze przepadli. Jednak operacja prowadzona przez FBI była w stanie przejąć 2.3 miliona dolarów w Bitcoinach wypłaconych jako okup.[4] FBI rzekomo śledziło przepływ pieniędzy z okupu w publicznie dostępnym rejestrze Bitcoin, a następnie uzyskało dostęp do wirtualnego konta, na którym znajdowała się większość tych pieniędzy.[5]

 

CYBERCOM USA

 

Poza Departamentem Sprawiedliwości, US Cyber ​​Command (CYBERCOM), którego misją jest „kierowanie, synchronizacja i koordynacja planowania i operacji w cyberprzestrzeni – w celu obrony i promowania interesów narodowych – we współpracy z partnerami krajowymi i zagranicznymi”, również odgrywa rolę w reagowaniu na zagrożenia związane z oprogramowaniem ransomware.[6]

 

Słuch:Podczas wirtualnego przesłuchania w zeszły piątek generał Nakasone, pełniący jednocześnie funkcję szefa CYBERCOM-u i dyrektora NSA, odmówił powołania nowych władz w celu ścigania grup cyberprzestępców.[7] Oświadczył, że uważa, iż ma „wszystkie uprawnienia, jakich potrzebuje, aby móc ścigać tych przeciwników poza Stanami Zjednoczonymi za pomocą środków wywiadowczych”.[8] Jednak mówiąc konkretnie o oprogramowaniu ransomware, przekazał, że prawdziwe wyzwanie, z którym zmaga się administracja Bidena, polega na tym, jak dzielić się informacjami wywiadowczymi i działaniami z różnymi interesariuszami publicznymi i prywatnymi oraz jak je koordynować, a także jak ustalić, kto przewodzi całościowym wysiłkom. [9]

 

DHS

 

Wskazówki – CISA: Rosnące zagrożenie ransomware dla zasobów OT: Rosnące znaczenie oprogramowania ransomware doprowadziło również do opublikowania przez rząd dodatkowych wytycznych, w tym arkusza informacyjnego CISA zatytułowanego, Rosnące zagrożenie ransomware dla zasobów technologii operacyjnej.[10] Trzystronicowy dokument przedstawia przegląd zagrożeń związanych z oprogramowaniem ransomware, w szczególności dotyczących zasobów OT, a następnie przedstawia działania, jakie organizacje powinny podjąć, aby przygotować się na ataki oprogramowania ransomware, ograniczyć ich skutki i reagować na nie.

 

Rozwój sektora prywatnego

 

W ostatnich tygodniach pojawiło się również kilka znaczących wydarzeń związanych z ransomware w sektorze prywatnym. Niestety, wydarzenia te miały raczej charakter negatywny niż pozytywny. Głośne ataki ransomware nadal skutkują wypłatami okupu w wysokości wielu milionów dolarów, a Kongres USA bardzo krytycznie ocenia sposób, w jaki sektor prywatny reaguje na incydenty.

 

Grupa zadaniowa IST ds. oprogramowania ransomware (RTF): RTF, grupa około 60 ekspertów z sektora publicznego i prywatnego, opublikowała 81-stronicowy raport zawierający szczegółowe i kompleksowe ramy walki z oprogramowaniem ransomware.[11] Niniejszy dokument ma na celu pomóc w edukacji społeczeństwa na temat niuansów związanych z oprogramowaniem ransomware, a także przedstawić praktyczne i możliwe do wdrożenia działania polityczne.

 

W skład RTF, którego organizatorem jest Instytut Bezpieczeństwa i Technologii (IST), wchodzą przedstawiciele największych firm technologicznych, takich jak Microsoft i Amazon, organizacji zajmujących się cyberbezpieczeństwem, takich jak Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber ​​Threat Alliance i Global Cyber ​​Alliance, a także organizacji rządowych, takich jak brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) i amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA).

 

 

JBS i CNA: JBS, jeden z największych przetwórców mięsa w Stanach Zjednoczonych, niedawno stał się jednym z kolejnych głośnych incydentów ransomware po Colonial Pipeline. Atak miał szeroki zasięg, ponieważ operacje JBS w Australii, Kanadzie i USA zostały podobno dotknięte.[12] Ostatecznie JBS zapłaciło okup w wysokości około 11 milionów dolarów, mając nadzieję, że sprawcy nie ukradną danych firmy.[13]

 

Jednakże kwota ta blednie w porównaniu z kwotą prawie 40 milionów dolarów, którą organizacja ubezpieczeniowa CNA Financial Corp. rzekomo wypłaciła, aby „odzyskać kontrolę nad swoją siecią po ataku ransomware”.[14] Choć do ataku doszło w marcu, szczegóły dotyczące zapłacenia okupu zostały ujawnione dopiero pod koniec maja.

 

Kongres wyraża dezaprobatę: Podczas przesłuchania w Kongresie w zeszłym tygodniu ustawodawcy wielokrotnie rozmawiali z CEO Colonial Pipeline Josephem Bluntem o sposobie, w jaki zareagowali na incydent z oprogramowaniem ransomware. Niektórzy ustawodawcy twierdzili, że dobrowolne przeglądy cyberbezpieczeństwa Transportation Security Administration zostały odrzucone przez Colonial Pipeline, a Rep. Bonnie Watson Coleman (D) stwierdziła: „Opóźnianie tych ocen przez tak długi czas jest równoznaczne z ich odrzuceniem, sir”.[15] Inni kwestionowali decyzję zarządcy rurociągu o tym, aby nie nawiązać natychmiast kontaktu z DHS i CISA lub nie przyjąć ich pomocy w przeprowadzeniu operacji odzyskiwania.[16] Kilku członków Kongresu posunęło się tak daleko, że zakwestionowało, czy dobrowolne standardy cyberbezpieczeństwa i podejście polegające na „nieingerowaniu” w krytyczną infrastrukturę są nadal możliwe do utrzymania.[17]

 

Akcja i analiza
**Wymagane członkostwo**

 

 

Kongres -

 

Wtorek, czerwiec 15th:

– Brak odpowiednich przesłuchań

 

Środa, czerwiec 16th:

– Senat – Komisja Bezpieczeństwa Wewnętrznego i Spraw Rządowych: Spotkanie biznesowe w celu rozpatrzenia nominacji Jen Easterly na stanowisko Dyrektora Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury Bezpieczeństwa Departamentu Bezpieczeństwa Wewnętrznego oraz Chrisa Inglisa na stanowisko Krajowego Dyrektora ds. Cyberbezpieczeństwa.

 

-Izba Reprezentantów – Komisja Bezpieczeństwa Krajowego: Zagrożenia cybernetyczne w rurociągu: Lekcje z odpowiedzi federalnej na atak ransomware na rurociąg kolonialny

 

Czwartek, czerwiec 17th:

– Brak odpowiednich przesłuchań

 

na świecie Przesłuchania/Spotkania -

– Brak istotnych spotkań

 

UE -

 

 

 

Konferencje, webinaria i szczyty –

 

 

https://h-isac.org/events/

 

Skontaktuj się z nami: obserwuj @HealthISAC i napisz na adres contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Powiązane zasoby i wiadomości
Zdrowie-ISAC Hacking Opieka zdrowotna 6-22-2021
Zdrowie-ISAC Hacking Opieka zdrowotna 6-8-2021