Salt la conținutul principal

Health-ISAC Hacking Healthcare 6-15-2021

TLP White: Săptămâna aceasta, Hacking Healthcare este dedicat agregarii și analizei vârtejului de dezvoltări recente de ransomware atât în ​​sectorul public, cât și în cel privat. În plus față de detalierea a ceea ce s-a întâmplat, cităm noi îndrumări și recomandări și oferim părerile noastre despre modul în care aceste evoluții au fost utile sau inutile în abordarea problemei ransomware.

Pentru a vă reaminti, aceasta este versiunea publică a blogului Hacking Healthcare. Pentru analize și opinii suplimentare aprofundate, deveniți membru H-ISAC și primiți versiunea TLP Amber a acestui blog (disponibilă în Portalul membrilor.)

 

Bun venit înapoi la Hacking Healthcare.

 

1. Introducere

Ransomware-ul nu a avut probleme în a menține lumina reflectoarelor, deoarece incidentele importante au continuat să crească în ultimele câteva săptămâni. Autoritățile guvernamentale și organizațiile din sectorul privat se străduiesc să abordeze situația din ce în ce mai îngrozitoare, iar viteza cu care evoluează situația generală poate face ușor ratarea unor evoluții critice. Având în vedere acest lucru, am dedicat această ediție a Hacking Healthcare să examineze evoluțiile recente ale ransomware, să evalueze impactul acestora asupra sectorului privat și să evidențieze o serie de recomandări pe care membrii H-ISAC le pot considera valoroase.

 

Răspunsul Guvernului

 

Începem cu administrația Biden. Administrația a făcut din securitatea cibernetică un domeniu prioritar și nu a găsit lipsă de incidente critice de securitate cibernetică la care să răspundă. În ciuda momentului care coincide cu atacul ransomware Colonial Pipeline, recentele ordine executive ale administrației legate de cibernetica privind interferența Rusiei, provocările lanțului de aprovizionare și securitatea cibernetică au fost adaptate în primul rând ca răspuns la incidente anterioare precum SolarWinds și s-au concentrat mai puțin pe problema ransomware-ului. . Cu toate acestea, în ultimele câteva săptămâni, administrația Biden a luat numeroși pași pentru a aborda valul neîncetat de ransomware.

 

Departamentul de Justiție

 

Departamentul de Justiție (DOJ) a fost deosebit de activ în acest domeniu.

 

Grupul operativ pentru ransomware: După cum am descris pe scurt într-o ediție anterioară, la sfârșitul lunii aprilie a fost emisă o notă internă DOJ care a anunțat formarea unui grup de lucru pentru ransomware. Nota a recunoscut că ransomware-ul nu era doar o amenințare economică în creștere, ci și o amenințare pentru sănătatea și siguranța cetățenilor americani.[1] S-a raportat că acest memoriu va duce la îmbunătățirea partajării informațiilor la nivelul DOJ, la crearea unei strategii care vizează fiecare aspect al ecosistemului ransomware și la o abordare mai proactivă în general.[2]

 

Creșterea ransomware: Strategia și abordarea menționate mai sus au fost parțial dezvăluite la începutul lunii iunie, când s-a raportat că au fost vehiculate îndrumări interne suplimentare ale DOJ, care au acordat investigațiilor atacurilor de tip ransomware o prioritate similară terorismului.[3] Mișcarea necesită ca cazurile și investigațiile de ransomware să fie coordonate central cu grupul de lucru ransomware din Washington, DC, pentru a se asigura că poate fi creată cea mai bună înțelegere și imagine operațională posibilă pentru diferitele părți interesate implicate în incidentele ransomware.

 

Recuperare răscumpărare: Când Colonial Pipeline a plătit cererea de răscumpărare în Bitcoin, mulți au presupus că făptuitorii și banii erau pe cât de buni. Cu toate acestea, o operațiune condusă de FBI a reușit să sechestreze 2.3 milioane de dolari în Bitcoin plătiți în răscumpărare.[4] FBI-ul ar fi urmărit mișcarea fondurilor de răscumpărare pe un registru Bitcoin vizibil public și apoi a obținut acces la contul virtual în care a ajuns cea mai mare parte.[5]

 

CYBERCOM SUA

 

În afara DOJ, US Cyber ​​Command (CYBERCOM), a cărui misiune este de a „direcționa, sincroniza și coordona planificarea și operațiunile spațiului cibernetic – pentru a apăra și promova interesele naționale – în colaborare cu partenerii interni și internaționali”, are, de asemenea, un rol de jucat în răspuns la amenințările ransomware.[6]

 

Auz: Într-o audiere virtuală de vineri trecută, generalul Nakasone, numit atât șef al CYBERCOM, cât și director al NSA, a refuzat să aibă nevoie de noi autorități pentru a urmări grupurile cibercriminale.[7] El a declarat că crede că are „toate autoritățile de care am nevoie pentru a putea urmări penal din punct de vedere al informațiilor împotriva acestor adversari din afara Statelor Unite”.[8] Cu toate acestea, vorbind în mod specific despre ransomware, el a transmis că adevărata provocare și cea prin care se confruntă administrația Biden este cum să împărtășească și să coordoneze informațiile și acțiunile cu diferite părți interesate publice și private, determinând, de asemenea, cine preia conducerea în general. eforturi. [9]

 

DHS

 

Ghid – CISA: Rising Ransomware Threat to OT Assets: Importanța ridicată a ransomware-ului a dus, de asemenea, la publicarea unor îndrumări suplimentare din partea guvernului, inclusiv o fișă informativă CISA intitulată, Creșterea amenințării ransomware asupra activelor tehnologice operaționale.[10] Documentul de trei pagini oferă o privire de ansamblu asupra amenințării ransomware, în special asupra activelor OT, și apoi prezintă acțiunile pe care organizațiile ar trebui să le întreprindă pentru a se pregăti pentru, a atenua și a răspunde la ransomware.

 

Evoluții din sectorul privat

 

Au existat, de asemenea, câteva dezvoltări notabile de ransomware legate de sectorul privat în ultimele săptămâni. Din păcate, aceste evoluții au avut tendința de a fi mai degrabă negative decât pozitive. Atacurile ransomware de mare profil continuă să aibă ca rezultat plăți de răscumpărare de mai multe milioane de dolari, iar Congresul SUA a fost extrem de critic cu privire la modul în care sectorul privat a răspuns la incidente.

 

Grupul operativ IST Ransomware (RTF): RTF, un grup de aproximativ 60 de experți din sectorul public și privat, a lansat un raport de 81 de pagini care oferă un cadru detaliat și amănunțit pentru combaterea ransomware-ului.[11] Acest document ar trebui să ajute la educarea persoanelor cu privire la nuanțele ransomware-ului, oferind, în același timp, acțiuni politice practice și acționabile.

 

Adunat de Institutul pentru Securitate și Tehnologie (IST), RTF include reprezentanți ai unor firme de tehnologie importante precum Microsoft și Amazon; organizații de securitate cibernetică precum Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber ​​Threat Alliance și Global Cyber ​​Alliance; și organizații guvernamentale precum Centrul Național de Securitate Cibernetică din Marea Britanie (NCSC) și Agenția de Securitate Cibernetică și Infrastructură din SUA (CISA).

 

 

JBS și CNA: JBS, unul dintre cei mai mari procesatori de carne din Statele Unite, a devenit recent unul dintre următoarele incidente de ransomware de mare profil după Colonial Pipeline. Atacul a avut impact larg răspândit, deoarece operațiunile JBS din Australia, Canada și SUA au fost toate afectate.[12] În cele din urmă, JBS a plătit o răscumpărare de aproximativ 11 milioane de dolari cu intenția de a se asigura că făptuitorii nu au furat datele companiei.[13]

 

Cu toate acestea, această plată este slabă în comparație cu cele aproape 40 de milioane de dolari pe care organizația de asigurări CNA Financial Corp. i-a plătit pentru „recăpăta controlul asupra rețelei sale după un atac ransomware”.[14] Deși acel atac pare să fi avut loc în martie, detaliile plății răscumpărării au devenit publice abia la sfârșitul lunii mai.

 

Congresul își exprimă dezaprobarea: Într-o audiere a Congresului de săptămâna trecută, parlamentarii s-au implicat în mod repetat cu CEO-ul Colonial Pipeline, Joseph Blunt, cu privire la modul în care au răspuns la incidentul lor ransomware. Unii parlamentari au afirmat că revizuirile voluntare de securitate cibernetică ale Administrației de Securitate a Transporturilor au fost refuzate de Colonial Pipeline, reprezentantul Bonnie Watson Coleman (D) declarând: „Amânarea acestor evaluări atât de mult înseamnă să le refuze, domnule”.[15] Alții au contestat decizia conductei de a nu contacta imediat DHS și CISA sau de a nu accepta asistența acestora în operațiunile de recuperare.[16] Câțiva membri ai Congresului au ajuns până acolo încât să pună la îndoială dacă standardele voluntare de securitate cibernetică și o abordare „de excludere” a infrastructurii critice sunt încă sustenabile.[17]

 

Acțiune și analiză
**Este necesară calitatea de membru**

 

 

Congres -

 

Marți, iunie 15:

– Nu există audieri relevante

 

Miercuri, iunie 16:

– Senat – Comisia pentru securitate internă și afaceri guvernamentale: întâlnire de afaceri pentru a lua în considerare nominalizările lui Jen Easterly, pentru a fi director al Agenției pentru securitate cibernetică și a infrastructurii, Departamentul pentru Securitate Internă, și Chris Inglis, pentru a fi director național cibernetic.

 

-Camera Reprezentanților – Comitetul pentru Securitate Internă: Amenințări cibernetice în curs de dezvoltare: Lecții din răspunsul federal la atacul ransomware al conductei coloniale

 

Joi, 17 iunie:

– Nu există audieri relevante

 

Internațional Audieri/Întâlniri -

– Fără întâlniri relevante

 

EU -

 

 

 

Conferințe, seminarii web și summituri –

 

 

https://h-isac.org/events/

 

Contactați-ne: urmăriți @HealthISAC și trimiteți un e-mail la contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Resurse și știri conexe