Saúde-ISAC Hacking Healthcare 6-15-2021

17 de Junho de 2021

TLP Branco: Esta semana, Hackeando a saúde é dedicado a agregar e analisar o turbilhão de desenvolvimentos recentes de ransomware tanto no setor público quanto no privado. Além de detalhar o que vem acontecendo, citamos novas orientações e recomendações e fornecemos nossas ideias sobre como esses desenvolvimentos foram úteis ou não para lidar com o problema do ransomware.

Como lembrete, esta é a versão pública do blog Hacking Healthcare. Para análise e opinião aprofundadas adicionais, torne-se um membro do H-ISAC e receba a versão TLP Amber deste blog (disponível no Portal do Membro).

Bem-vindo de volta ao Hackeando a saúde.

1. Introdução

O ransomware não teve problemas em manter os holofotes, já que incidentes de alto perfil continuaram a aumentar nas últimas semanas. Autoridades governamentais e organizações do setor privado estão se esforçando para lidar com a situação cada vez mais terrível, e a velocidade com que a situação geral está evoluindo pode tornar fácil perder desenvolvimentos críticos. Com isso em mente, dedicamos esta edição de Hackeando a saúde para examinar os desenvolvimentos recentes de ransomware, avaliar seu impacto no setor privado e destacar uma série de recomendações que os membros do H-ISAC podem achar valiosas.

Resposta do Governo

Começamos com a administração Biden. A administração fez da segurança cibernética uma área de questão prioritária e não encontrou escassez de incidentes críticos de segurança cibernética para responder. Apesar do momento coincidir com o ataque de ransomware Colonial Pipeline, as recentes ordens executivas relacionadas à cibernética da administração sobre interferência russa, desafios da cadeia de suprimentos e segurança cibernética foram adaptadas principalmente como uma resposta a incidentes anteriores como o SolarWinds e estavam menos focadas diretamente na questão do ransomware. No entanto, nas últimas semanas, a administração Biden tomou inúmeras medidas para lidar com a onda implacável de ransomware.

Departamento de Justiça

O Departamento de Justiça (DOJ) tem sido especialmente ativo nessa área.

Força-tarefa contra ransomware: Como abordamos brevemente em uma edição anterior, um memorando interno do DOJ foi emitido no final de abril, anunciando a formação de uma força-tarefa contra ransomware. O memorando reconheceu que o ransomware não era apenas uma ameaça econômica crescente, mas também uma ameaça à saúde e à segurança dos cidadãos americanos. Foi relatado que este memorando levará a um melhor compartilhamento de inteligência no DOJ, à criação de uma estratégia que tenha como alvo todos os aspectos do ecossistema de ransomware e a uma abordagem mais proativa em geral.

Elevação do Ransomware:A estratégia e abordagem mencionadas acima foram parcialmente reveladas no início de junho, quando foi relatado que novas orientações internas do DOJ foram divulgadas, dando às investigações de ataques de ransomware uma prioridade semelhante à do terrorismo. A medida exige que os casos e investigações de ransomware sejam coordenados centralmente com a força-tarefa de ransomware em Washington, DC, para garantir que o melhor entendimento e quadro operacional possíveis possam ser criados para as várias partes interessadas envolvidas em incidentes de ransomware.

Recuperação de Resgate: Quando a Colonial Pipeline pagou o pedido de resgate em Bitcoin, muitos presumiram que os perpetradores e o dinheiro estavam praticamente perdidos. No entanto, uma operação liderada pelo FBI conseguiu apreender US$ 2.3 milhões em Bitcoin pagos no resgate. O FBI supostamente rastreou a movimentação dos fundos do resgate em um livro-razão de Bitcoin visível ao público e então obteve acesso à conta virtual onde a maior parte foi parar.

CYBERCOM DOS EUA

Fora do DOJ, o Comando Cibernético dos EUA (CYBERCOM), cuja missão é “Dirigir, Sincronizar e Coordenar o Planejamento e as Operações do Ciberespaço – para Defender e Promover os Interesses Nacionais – em Colaboração com Parceiros Nacionais e Internacionais”, também tem um papel a desempenhar na resposta às ameaças de ransomware.

Audição:Em uma audiência virtual na sexta-feira passada, o general Nakasone, que atua como chefe do CYBERCOM e diretor da NSA, recusou-se a precisar de novas autoridades para perseguir grupos cibercriminosos. Ele afirmou que acredita ter “todas as autoridades necessárias para poder processar, em termos de inteligência, esses adversários fora dos Estados Unidos”. No entanto, falando especificamente sobre ransomware, ele relatou que o verdadeiro desafio, e aquele que o governo Biden está enfrentando, é como compartilhar e coordenar inteligência e ação com várias partes interessadas públicas e privadas, ao mesmo tempo em que determina quem está liderando os esforços gerais.

DHS

Orientação – CISA: Ameaça crescente de ransomware para ativos de OT: A elevada importância do ransomware também levou à publicação de orientações adicionais do governo, incluindo uma ficha informativa da CISA intitulada, Ameaça crescente de ransomware para ativos de tecnologia operacional. O documento de três páginas fornece uma visão geral da ameaça de ransomware, especificamente para ativos de OT, e descreve as ações que as organizações devem tomar para se preparar, mitigar e responder ao ransomware.

Desenvolvimentos do Setor Privado

Também houve alguns desenvolvimentos notáveis de ransomware relacionados ao setor privado nas últimas semanas. Infelizmente, esses desenvolvimentos tendem a ser mais negativos do que positivos. Ataques de ransomware de alto perfil continuam a resultar em pagamentos de resgate multimilionários, e o Congresso dos EUA tem sido altamente crítico sobre como o setor privado respondeu aos incidentes.

Força-Tarefa de Ransomware do IST (RTF): O RTF, um grupo de cerca de 60 especialistas dos setores público e privado, divulgou um relatório de 81 páginas que fornece uma estrutura detalhada e completa para combater o ransomware. Este documento deve ajudar a educar as pessoas sobre as nuances do ransomware e, ao mesmo tempo, fornecer ações políticas práticas e acionáveis.

Reunido pelo Instituto de Segurança e Tecnologia (IST), o RTF inclui representantes de grandes empresas de tecnologia como Microsoft e Amazon; organizações de segurança cibernética como Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber Threat Alliance e Global Cyber Alliance; e organizações governamentais como o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA).

JBS e CNA: JBS, um dos maiores processadores de carne dos Estados Unidos, recentemente se tornou um dos próximos incidentes de ransomware de alto perfil depois da Colonial Pipeline. O ataque teve impactos generalizados, já que as operações da JBS na Austrália, Canadá e EUA foram todas afetadas. No final, a JBS pagou um resgate de aproximadamente US$ 11 milhões com a intenção de garantir que os criminosos não roubassem dados da empresa.

No entanto, esse pagamento empalidece em comparação aos quase US$ 40 milhões que a organização de seguros CNA Financial Corp. supostamente pagou para “recuperar o controle de sua rede após um ataque de ransomware”. Embora o ataque pareça ter ocorrido em março, os detalhes do pagamento do resgate só se tornaram públicos no final de maio.

O Congresso expressa desaprovação: Em uma audiência do Congresso na semana passada, os legisladores se envolveram repetidamente com o CEO da Colonial Pipeline, Joseph Blunt, sobre a forma como eles responderam ao incidente de ransomware. Alguns legisladores afirmaram que as revisões voluntárias de segurança cibernética da Transportation Security Administration foram recusadas pela Colonial Pipeline, com a deputada Bonnie Watson Coleman (D) afirmando: "Atrasar essas avaliações por tanto tempo equivale a recusá-las, senhor." Outros questionaram a decisão do oleoduto de não entrar em contato imediatamente com o DHS e a CISA ou aceitar sua assistência nas operações de recuperação. Alguns membros do Congresso chegaram a questionar se os padrões voluntários de segurança cibernética e uma abordagem “não intervencionista” para infraestrutura crítica ainda eram sustentáveis.

Ação e Análise
**É necessário ser membro**

Congresso -

Terça-feira, junho 15th:

– Nenhuma audiência relevante

Quarta-feira, 16 de junho:

– Senado – Comissão de Segurança Interna e Assuntos Governamentais: Reunião de negócios para considerar as nomeações de Jen Easterly, para Diretora da Agência de Segurança Cibernética e de Infraestrutura, Departamento de Segurança Interna, e Chris Inglis, para Diretor Nacional de Segurança Cibernética.

-Câmara dos Representantes – Comissão de Segurança Interna: Ameaças cibernéticas no pipeline: lições da resposta federal ao ataque de ransomware do Colonial Pipeline

Quinta-feira, junho 17th:

– Nenhuma audiência relevante

Internacional Audiências/Reuniões -

– Nenhuma reunião relevante

EU -

Conferências, Webinars e Cúpulas –

https://h-isac.org/events/

Entre em contato conosco: siga @HealthISAC e envie um e-mail para contact@h-isac.org

https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

https://www.cybercom.mil/About/Mission-and-Vision/

https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

https://securityandtechnology.org/ransomwaretaskforce/

https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

Recursos e notícias relacionados