Salt la conținutul principal

Subiect post: Amenințarea inteligenței

Sănătate-ISAC Sectorul Sănătății Heartbeat – T3 2025

Compus de Julia Annaloro on . postat în Resurse și știri, Amenințarea inteligenței, Fără categorie, Hartii albe.

Health-ISAC Heartbeat oferă observații despre ransomware, tendințele criminalității cibernetice și postările pe forumuri ale actorilor rău intenționați care ar putea afecta organizațiile din sectorul sănătății. Acest produs este destinat conștientizării situației.

Subiecte:

  • Atacuri ransomware în sectorul sănătății
  • Analiza evenimentelor globale
  • Tendințe de alertă direcționate
  • Activitatea forumurilor subterane
  • Profiluri ale actorilor amenințători și măsuri de atenuare
  • Recomandări suplimentare

 

 

Atenuări intersectoriale: Păianjen împrăștiat

Compus de Julia Annaloro on . postat în Actualizări speciale, Amenințarea inteligenței.

Îndrumări pentru apărare proactivă

Produs de ISAC pentru Servicii Financiare, ISAC pentru Tehnologia Informației, ISAC pentru Alimentație și Agricultură, ISAC pentru Sănătate, ISAC pentru Aviație, ISAC pentru Automotive, ISAC pentru Comerț cu Amănuntul și Ospitalitate, ISAC pentru Sistemul de Transport Maritim, ISAC pentru Electricitate și Consiliul Național al ISAC-urilor, cu contribuții din partea partenerilor din sectorul privat al ISAC pentru Comunicații.

Download

Versiune text:

Analiza amenințării păianjenilor împrăștiați

Introducere

Membrii Consiliului Național al ISAC-urilor (NCI) evaluează cu un grad ridicat de încredere că grupul de actori amenințători Scattered Spider reprezintă o amenințare reală și că abilitatea sa de a exploata vulnerabilitățile umane prin inginerie socială face ca grupul să reprezinte un risc semnificativ pentru organizații.

Această analiză detaliază activitatea Scattered Spider pe baza activității sale comerciale observate în diferite sectoare începând cu mai 2025, oferind:

🔹 Informații despre Scattered Spider, astfel încât firmele să își poată identifica mai bine suprafața de amenințare

🔹 Proceduri tehnice și practici culturale pentru a contracara atacurile Păianjenilor Răspândiți

🔹 Analiza informațiilor furnizate de membrii Centrului de Analiză și Schimb de Informații (ISAC) și FBI, precum și a informațiilor furnizate de MITRE ATT&CK corespunzătoare® atenuări

Măsurile recomandate s-au dovedit eficiente împotriva păianjenului împrăștiat și a unor actori similari, conform evaluării experților în informații. Măsurile de atenuare includ necesitățile de bază ale FS-ISAC. fundamente cibernetice, legate de TTP-urile (tactici, tehnici și proceduri) pentru păianjenii împrăștiați, bazate pe amenințări cunoscute.

Cu toate acestea, actorii care atacă atacuri cibernetice precum Scattered Spider inovează constant, așa că organizațiile trebuie să fie atentă în monitorizarea continuă a proceselor și identităților lor pentru a căuta noi vulnerabilități.

Aceste constatări au fost realizate în colaborare de către ISAC-urile din domeniile Serviciilor Financiare, Tehnologia Informației, Alimentației și Agriculturii, Sănătății, Aviației, Autovehiculelor, Comerțului cu Amănuntul și Ospitalității și Sistemului de Transport Maritim, precum și de către NCI. NCI cuprinde 28 de organizații și este conceput pentru a maximiza fluxul de informații între infrastructurile critice din sectorul privat și agențiile guvernamentale.

Context și TTP-uri

Scattered Spider este un grup de tineri operatori independenți din Marea Britanie, SUA și Canada, motivați financiar – mai degrabă decât ideologic. Potrivit cercetătorilor, Scattered Spider face parte dintr-o comunitate de hackeri mai mare, cunoscută sub numele de The Community sau The Com, care se organizează prin intermediul platformelor online, inclusiv chat-uri de grup Discord și Telegram. Scattered Spider folosește tehnici de inginerie socială extrem de eficiente și furt de acreditări pentru a intra în rețelele țintă, apoi își monetizează atacurile prin furt de date, extorcare sau operațiuni ransomware afiliate. Grupul este cunoscut pentru activitatea sa extinsă de recunoaștere care identifică personaje pe care să le adopte sau angajați pe care să îi vizeze. O mare parte din succesul Scattered Spider se datorează vitezei sale și direcționării adaptabile și cu efort redus.

*****

Sidebar:

Actorii care atacă în mod amenințător participă frecvent la apeluri și teleconferințe pentru remedierea incidentelor și răspuns, probabil pentru a identifica modul în care echipele de securitate îi vânează și pentru a dezvolta proactiv noi căi de intruziune ca răspuns la apărarea victimelor. Acest lucru se realizează uneori prin crearea de noi identități în mediu și este adesea susținut cu profiluri false de socializare pentru a proteja identitățile nou create. Aviz de securitate cibernetică: Păianjen împrăștiat – un consiliu comun al Biroului Federal de Investigații (FBI) și al Agenției pentru Securitatea Cibernetică și Infrastructură (CISA)

*****

Activ de la începutul anului 2022, Scattered Spider a fost inițial observat vizând entități de telecomunicații și de externalizare a proceselor de afaceri (BPO), probabil ca o rampă de lansare pentru operațiuni de inginerie socială pentru a obține acces neautorizat la alte ținte și la părțile interesate ale acestora. De atunci, grupul a fost asociat cu peste 100 de atacuri pe mai multe verticale de piață, dar tinde să vizeze câte un sector pe rând. Scattered Spider este cunoscut pentru compromiterea din 2023 a Caesars Entertainment și MGM Resorts și pentru atacul din 2022 asupra lui Twilio, care a dus la un atac asupra lanțului de aprovizionare ce a afectat aplicația de mesagerie Signal. Acesta a vizat comercianții cu amănuntul din SUA și Marea Britanie în aprilie și mai 2025, apoi și-a mutat atenția către sectorul financiar, în special firmele de asigurări, și sectorul aviației.

  1. Acces inițial obținut prin:

    >Atacuri de inginerie socială

    Atacuri de oboseală MFA

  2. Obține privilegii de administrator prin:

    • Evacuarea acreditărilor
    • Credențiale și secrete stocate

 

3. Persistență obținută prin:

Sarcini programate

Servicii rău intenționate

>Crearea unui utilizator local

Mecanisme de persistență în cloud

 

4. Evaziunea defensivă posibilă prin:

Dezactivarea AV/EDR

>Modificarea GPO-urilor Windows

Dezactivarea Defender, a înregistrării în jurnal sau a telemetriei

Eliminarea driverelor EDR

5. Mișcare laterală prin:

>PsExec

>Comunicare la distanță PowerShell

>WMI

>Conexiuni VPN sau Citrix legitime

 

O tactică tipică este de a convinge agenții de asistență IT să efectueze resetări de parole în regim self-service (SSPR) pentru conturile vizate. Tehnicile Scattered Spider includ utilizarea... mesaje SMS (serviciu de mesaje scurte) — adică mesaje text — și phishing vocal (smishing și vishing) pentru a captura acreditări pentru tablouri de bord cu autentificare unică (SSO), Microsoft Office 365/Azure, VPN-uri și dispozitive edge.

Grupul este, de asemenea, cunoscut pentru deturnarea autentificării multifactor (MFA) prin schimbarea modulului de identitate al abonatului (SIM). Apoi, anulează MFA prin oboseala notificărilor sau convinge agenții de asistență să reseteze metoda MFA a conturilor vizate.

După ce compromit cu succes contul unui utilizator, operatorii Scattered Spider înregistrează alte dispozitive sub contul respectiv. Atunci când pot obține privilegii administrative, creează conturi controlate de atacator în mediul victimei. Apoi, atacatorul stabilește persistența pentru accesul neautorizat la mediul victimei și creează redundanță pentru a zădărnici încercările de eliminare a programelor malware sau a accesului.

Activitățile ulterioare de recunoaștere includ încercarea de a descoperi platforme corporative – inclusiv Windows, Linux, Google Workspace, Microsoft Entra ID (fostul Azure Active Directory), Microsoft 365, AWS și alte instrumente găzduite în infrastructura cloud – și mutarea laterală, descărcarea instrumentelor adecvate pentru exfiltrarea datelor sensibile.

*****

Sidebar:

Health-ISAC a primit informații care leagă botnet-ul Amadey de atacurile Scattered Spider. Botnet-ul Amadey a fost folosit de actori ransomware precum BlackSuit, BlackBasta și Akira pentru a plasa încărcătoare de malware în rețelele victimelor. Botnet-ul a evitat acțiunile de aplicare a legii împotriva platformelor malware-as-a-service (MaaS), permițându-i să evolueze din 2018.

*****

Această înțelegere profundă a infrastructurii native a victimei permite Scattered Spider să execute activități ulterioare nefaste. Prin această înțelegere profundă – de exemplu, capacitatea sa de a executa tehnici de trai în afara terenului – grupul poate evita metodele standard de detectare. Grupul de amenințări poate, de asemenea, implementa programe malware care instalează drivere semnate rău intenționate, concepute pentru a termina procesele asociate cu software-ul de securitate și a șterge fișiere.

Scattered Spider folosește nume de domenii de phishing recent înregistrate și foarte convingătoare, care imită portaluri de autentificare legitime, în special pagini de autentificare Okta. Aceste domenii au o durată de viață sau un timp de funcționare scurt, ceea ce face dificilă detectarea.

Din 2023, Scattered Spider a fost observat utilizând cinci kituri distincte de phishing, deoarece strategiile de implementare ale grupului au evoluat pentru a include furnizori de DNS dinamic. În plus, grupul a inclus trojanul de acces la distanță Spectre (RAT) în lanțul său de atac pentru implementarea de programe malware pe sistemele compromise pentru a obține acces persistent. Acest malware include mecanisme pentru dezinstalarea de la distanță și intermedierea conexiunilor către servere de comandă și control (C2) suplimentare, sugerând că grupul ar putea utiliza infrastructura C2 pentru a efectua acțiuni post-exploatare asupra rețelelor victimelor.

*****

Sidebar:

Nume de domeniu cunoscute utilizate de Scattered Spider

  • nume-țintă-sso[.]com
  • nume-targets-servicedesk[.]com
  • nume-țintă-okta[.]com
  • nume-țintă-cms[.]com
  • nume-ajutor-targets[.]com
  • oktalogin-targetcompany[.]com

Păianjen împrăștiat Consiliere de securitate cibernetică produs în comun de FBI, CISA, Poliția Regală Canadiană, Centrul Australian de Securitate Cibernetică al Direcției de Semnale Australiene, Poliția Federală Australiană, Centrul Canadian pentru Securitate Cibernetică și Centrul Național de Securitate Cibernetică al Regatului Unit

*****

Recomandări

Următoarele recomandări s-au dovedit eficiente pentru membrii ISAC. Multe sunt extrase din recomandările FS-ISAC. fundamente cibernetice, o abordare bazată pe risc, apărând în profunzime, a necesităților de securitate cibernetică de bază, aplicabilă organizațiilor aflate la orice nivel de maturitate cibernetică.

Folosește un proces de verificare multicanal — Nicio organizație nu ar trebui să se bazeze pe un singur canal de comunicare pentru modificările parolei sau solicitările de resetare a parolei MFA ale angajaților. Unele firme pot beneficia de utilizarea unei liste predeterminate de întrebări la care numai angajatul ar putea răspunde pentru a iniția resetarea parolei și a MFA. Iar angajații IT ar trebui să se simtă întotdeauna împuterniciți să conteste orice solicitare de verificare a altui angajat.

Pași de acțiune:

  • Departamentul IT ar trebui să utilizeze verificarea pe mai multe canale, inclusiv:
  • Verificarea solicitărilor făcute prin e-mail, SMS sau telefon cu un apel invers la un număr de telefon preînregistrat și cunoscut
  • PIN-uri statice pe o insignă fizică
  • Validare vizuală
  • Folosește o parolă vocală cunoscută doar angajaților sau un set de răspunsuri la întrebări care nu sunt ușor de ghicit, de exemplu: „Care este numele de fată al mamei tale? Care a fost data începerii angajării? Care este eticheta laptopului tău de serviciu?”

Solicitați ca doi angajați să aprobe anumite tipuri de solicitări — cum ar fi transferuri financiare mari — sau solicitări din partea angajaților cu un nivel ridicat de privilegii.

  • Contactați managerul angajatului atunci când angajatul solicită o resetare atât a acreditărilor, cât și a MFA..
  • Promovați o cultură în care personalul IT este așteptat și împuternicit să pună la îndoială orice solicitări neobișnuite sau extrem de sensibile, chiar și din partea directorilor, fără teama de repercusiuni.

 

Concentrare pe tacticile de inginerie socială — Scattered Spider se bazează pe exploit-uri de inginerie socială și este foarte creativ în utilizarea phishing-ului, vishing-ului și smishing-ului. Grupul de amenințare insuflă adesea un sentiment de urgență în momelile sale și profită de temerile, empatia și respectul victimelor pentru autoritate. Includeți aceste TTP-uri în simulări și testați reacțiile angajaților la acestea.

Pași de acțiune:
  • Implementați instruire continuă și obligatorie privind conștientizarea securității și simulări de phishing cu momeli comune și actuale.
  • Adaptați instruirea la rol — reprezentanții biroului de asistență IT, ai serviciului clienți, ai personalului de resurse umane și ai directorilor executivi pot necesita o instruire mai detaliată și mai specifică privind tacticile actorilor amenințători și campaniile actuale.
  • Instruiți reprezentanții serviciului clienți cu privire la procedurile de asistență. De exemplu, subliniați faptul că biroul lor de asistență nu va solicita niciodată unui angajat să instaleze software de asistență la distanță sau să ocolească vreun control de securitate.
  • Folosește privilegiile minime, astfel încât angajații, în special reprezentanții serviciului clienți, să solicite verificări suplimentare din partea utilizatorului final înainte de a oferi acces mai mare.

 

Examinați profilurile de social media ale administratorilor, în special ale administratorilor de cloud Profilurile și postările administratorilor de pe rețelele sociale pot afișa în mod accidental informații legate de job – de exemplu, responsabilități, istoricul profesional, colegi, rutina zilnică – pe care actorii de amenințare le folosesc pentru a adapta atacurile (de exemplu, valorificarea itinerariilor de călătorie pentru a stabili credibilitate sau urgență într-o campanie de vishing). Administratorii de cloud sunt ținte specifice. Obținerea privilegiilor lor de acces ar oferi actorilor de amenințare acces și control asupra resurselor valoroase din cloud și capacitatea de a provoca daune pe scară largă. Firmele ar trebui să instituie politici de social media care să descrie informațiile pe care actorii de amenințare le exploatează și să interzică astfel de informații în postările de pe rețelele sociale. Revizuiți periodic rețelele sociale ale administratorilor – în special postările administratorilor de cloud – pentru a le alinia cu politica de social media.

Pași de acțiune:
  • Elaborați și aplicați politici detaliate, specifice accesului, privind rețelele sociale, care să explice tipurile de informații a căror publicare este permisă și a celor care nu.
  • Efectuați audituri pentru a asigura conformitatea.
  • Oferiți instruire cu privire la riscurile partajării detaliilor profesionale sensibile.

 

Evaluarea drepturilor de acces la serviciul de asistență - Drepturile de acces la serviciul de asistență pot varia în timp, uneori acordând privilegii tuturor consolelor de administrare, cum ar fi fluxul de e-mail, controalele de securitate etc. Auditarea drepturilor de acces la serviciul de asistență asigură alinierea cu nevoile operaționale, prevenind în același timp accesul neautorizat care ar putea fi exploatat de actori amenințători precum Scattered Spider. Sistemele de management automate sporesc supravegherea.

Pași de acțiune:
  • Implementați sisteme automate pentru monitorizarea și ajustarea continuă a drepturilor de acces.
  • Programați verificări regulate ale accesului pentru a asigura alinierea cu funcțiile postului.

Monitorizarea mașinilor virtuale în medii cloud – Implementați instrumente de monitorizare pentru a oferi alerte privind activitățile neautorizate ale mașinilor virtuale (VM), cum ar fi serviciile suspecte, utilizarea anormală a resurselor și încercările de escaladare a privilegiilor, cu protocoale pentru izolarea și oprirea rapidă a mașinilor virtuale suspecte. Această capacitate de răspuns rapid este crucială pentru identificarea activităților suspecte, prevenirea potențialelor încălcări și atenuarea amenințărilor.

Pași de acțiune:
  • Elaborați o listă de activități permise.
  • Implementați sisteme de monitorizare și alertare și căutați lacune în acestea.
  • Stabilirea unor protocoale de răspuns rapid pentru activități neautorizate.
  • Eliminați instrumentele RMM inutile și încorporați honeytoken-uri în utilizarea instrumentelor RMM pentru detectarea timpurie și definirea amprentelor digitale.
  • Configurați browserele și sarcinile pentru a șterge în mod regulat cookie-urile persistente.
  • Minimizează durata de viață a unui cookie web — Scattered Spider le folosește pentru a stabili acces persistent și exfiltrare de date.

 

Revizuirea controalelor de securitate ale infrastructurii desktop virtuale - Asigurați-vă că mediile cu infrastructură desktop virtuală (VDI) sunt securizate cu MFA și monitorizați continuu activitățile utilizatorilor.

Pași de acțiune:
  • Verificați lista utilizatorilor VDI pentru a vă asigura că este actualizată.
  • Aplicați MFA.
  • Nu permiteți dispozitivelor personale să aibă acces direct la Office 365, Enterprise Google Workspace, VPN-uri corporative etc.
  • Solicitați MFA rezistent la phishing, cum ar fi YubiKeys, Windows Hello for Business etc. Nu aveți încredere în utilizatori pentru a aproba solicitările MFA sau pentru a oferi coduri.
  • Dacă o organizație are VDI pentru a permite accesul terților, asigurați-vă că acele VDI-uri nu pot accesa Secure Shells (SSH) sau protocoale de birou la distanță (RDP) sau nu pot ajunge la site-uri web care nu sunt necesare pentru ca utilizatorul să își îndeplinească sarcinile.
  • Efectuați audituri regulate și monitorizați în timp real toate sesiunile utilizatorilor.
  • Confirmați că nu există MFA prin SMS în nicio aplicație, inclusiv în aplicațiile furnizorilor. Acordul multifactor (MFA) bazat pe SMS poate introduce riscuri semnificative deoarece:
      • Mesajele SMS pot fi interceptate deoarece sunt necriptate
      • Atacatorii pot ocoli MFA prin inginerie socială
      • Actorii amenințători pot obține controlul unui număr de telefon, pot intercepta mesaje SMS și pot obține acces neautorizat prin schimbarea cartelei SIM.
      • Întreruperile pot împiedica utilizatorii să primească coduri de autentificare

 

Identificați punctele de acces și blocați accesul cu risc ridicat – Multe organizații trebuie să permită accesul la infrastructurile lor digitale angajaților, agențiilor de reglementare, furnizorilor terți și altor persoane. Protejați toate punctele de intrare – în special pe cele cu risc ridicat – cu controale sau blocaje și presupuneți că toți furnizorii de servicii gestionate sunt compromiși.

Pași de acțiune:
  • Nu oferiți niciunei terțe părți acces nelimitat la rețeaua corporativă.
  • Înlocuiți VPN-urile site-to-site cu VDI-uri folosind MFA rezistent la phishing și zero trust oriunde este posibil.
  • Identificați și blocați domeniile nou create care par a fi potențiale site-uri de phishing (de exemplu, typosquatting-ul numelor de domeniu).
  • Blochează rularea oricăror fișiere executabile RAT pe dispozitivele gestionate.
  • Blocați site-urile web ale tuturor instrumentelor comerciale de asistență la distanță cunoscute.
  • Implementați blocarea geografică acolo unde este posibil.
  • Blocați VPN-urile comerciale care se conectează la VPN-ul sau VDI-ul corporativ cu un serviciu precum ip2proxy sau Spur.
  • Blocați tipurile de dispozitive la VPN dacă nu sunt utilizate de reprezentanții serviciului clienți. (Adversarii au folosit adesea dispozitive Android x86.)

 

Permisiuni de audit acordate departamentului de resurse umane - Alinierea strictă a permisiunilor de resurse umane cu necesitățile operaționale protejează datele sensibile ale angajaților și datele financiare.

Pași de acțiune:
  • Efectuați un audit complet al permisiunilor de acces pentru resurse umane.
  • Verificați drepturile de acces ale furnizorilor și prestatorilor.
  • Educați personalul de resurse umane cu privire la riscurile de securitate cibernetică și la gestionarea corectă a datelor.

 

Utilități de cercetare pentru mutarea datelor în aplicațiile SaaS - Monitorizarea și urmărirea mișcărilor datelor în cadrul sistemelor SaaS (Software-as-a-Service) (de exemplu, Salesforce sau ServiceNow) este esențială, deoarece aplicațiile SaaS au adesea utilități de mișcare a datelor (de la terți) disponibile în diverse scopuri și pot conține informații sensibile.

Pași de acțiune:
  • Integrați monitorizarea utilității de mișcare a datelor în datele din jurnal.
  • Configurați alerte și controale automate pentru activități neobișnuite legate de date.

 

Revizuirea adreselor IP de încredere exceptate de la MFA - Organizațiile pot reduce rigoarea MFA în ceea ce privește solicitările provenite de la o rețea de încredere, cum ar fi o rețea VPN, o rețea de birou etc. Minimizarea acestor excepții MFA consolidează controalele de acces la rețea, un pas vital în securizarea datelor financiare și sensibile.

Pași de acțiune:
  • Reevaluați și actualizați lista de adrese IP de încredere din mediu.
  • Înlocuiți lista albă de IP-uri statice cu politici dinamice de acces condiționat.

 

Recunoașteți amenințarea internă reprezentată de reprezentanții serviciului clienți — Scattered Spider obține adesea acces inițial la sistemele companiei prin păcălirea reprezentanților serviciului clienți – dar îi și recrutează. Scanați periodic pentru activități potențial rău intenționate.

Pași de acțiune:
  • Verificați activitatea reprezentanților serviciului clienți pentru a depista semne de potențială compromitere, cum ar fi:
    • Un număr mare de resetări de parole sau vizualizări ale contului într-o perioadă scurtă de timp
    • Accesarea conturilor clienților fără a se realiza verificarea corectă a pașilor (de exemplu, introducerea codului PIN al clientului, corelarea cu ANI etc.)
    • „Jongleria cu credențialele”, adică conectarea la VPN cu credențiale diferite de cele utilizate pentru accesarea instrumentelor CSR
  • Căutați în jurnalele de text de asistență prin chat/e-mail încercări de recrutare utilizând căutări de șiruri care fac referire la termeni comuni utilizați în solicitări, cum ar fi „Telegram”, „Wickr” sau „Îmbogățiți-vă”.
  • Implementați acces limitat în timp pentru reprezentanții serviciului clienți, atât pentru acreditări, cât și pentru VPN, și alertați cu privire la orice conectare în afara programului normal de lucru al agenților.

 

Tactici și atenuări pentru păianjenii împrăștiați

Următorul tabel include analiza experților în securitate cibernetică ISAC asupra informațiilor partajate de mii de organizații membre. Multe dintre tactici au fost descoperite de FBI în timpul investigațiilor Scattered Spider, care sunt prezentate în documentul comun. Aviz de securitate cibernetică CISA și FBI Scattered SpiderAtenuările MITRE ATT&CK sunt extrase din analiza sa a TTP-urilor, bazată pe observațiile din lumea reală ale organizației.

VEZI PDF-UL DE MAI SUS.

 

 

Peisajul amenințărilor cibernetice din sectorul sănătății - Health-ISAC 2025 – acum în portugheză

Compus de Julia Annaloro on . postat în La stiri, Actualizări speciale, Amenințarea inteligenței, Hartii albe.

Actualizat 30 mai 2025.

uma tradução em português deste relatório foi adicionada abaixo.
(O traducere în portugheză a acestui raport a fost adăugată mai jos)

 

Raport anual asupra amenințărilor – 2025

2024 a fost un an provocator în domeniul securității cibernetice pentru sistemele din sectorul sănătății din întreaga lume.

Peisajul amenințărilor cibernetice în sectorul sănătății Health-ISAC 2025 evidențiază o escaladare continuă a atacurilor cibernetice. Constatările cheie includ o creștere a atacurilor ransomware, cu tehnici din ce în ce mai sofisticate folosite de actorii amenințărilor.

Raportul subliniază, de asemenea, amenințarea tot mai mare a actorilor din statul național și a spionajului cibernetic, vizând datele sensibile ale pacienților și proprietatea intelectuală. În plus, creșterea dispozitivelor Internet of Medical Things (IoMT) a introdus noi vulnerabilități, în timp ce peisajul amenințărilor în evoluție necesită adaptarea continuă a măsurilor de securitate pentru organizațiile din sectorul sănătății la nivel global.

Include următoarele, plus informații cheie extrase din datele sondajului:
  • Cele mai importante cinci amenințări cibernetice cu care se confruntă organizațiile din sectorul sănătății în 2024
  • Cele mai importante cinci amenințări cibernetice pe care le analizează organizațiile din sectorul sănătății în 2025
  • Cele mai importante trei provocări Producătorii de dispozitive medicale au raportat că au dezvoltat dispozitive medicale sigure
  • Cele mai importante trei efecte asupra organizațiilor de furnizare a asistenței medicale

Health ISAC 2025 Annual Threat Report
Mărimea : 7.1 MB Format: PDF

Relatório Anual de Ameaças – 2025

2024 a fost un desafiador în termos de segurança cibernética para sistemele do setor de sănătate în tot o lume.

anorama de Ameaças Cibernéticas OP do Setor de Saúde do Health-ISAC 2025 se remarcă în continuare escalada atacurilor cibernéticos. Ca concluzii principale, se numără o creștere a noilor atacuri de ransomware, cum tehnicile de fiecare dată mai sofisticate folosite de agenții de amețeri.

O relatorio também enfatiza a crescente ameaça de agentes estatais-nação e da ciberespionagem, visando e da ciberespionagem, visando dados sensíveis de pacienti și propriedade intelectual. Além disso, o surgimento de dispositivos de Internet das Coisas Médicas (IoMT) introduceziu novas vulnerabilidades, enquanto o cenário de ameaças em evolução exige a adaptação contínua de medidas de segurança para organizações do setor of health em todo o world.

Includeți următoarele, alte insights importante extraídos dos dados da quisa:

  • As cinci principale ameaças cibernéticas enfrentadas pelas organizações do setor da health em 2024
  • As cinco principale ameaças cibernéticas care as organizações do setor da sănătate esteo înfruntându-se în 2025
  • Cele mai importante probleme legate de producători de dispozitive medicale și de dezvoltare a dispozitivelor medicale sigure
  • Ostrês principales impacts nas organizações de prestação de serviços de sănătate

 

Health ISAC Setor De Saúde 2025 Panorama De Ameaças Cibernéticas
Mărimea : 2.6 MB Format: PDF

Riscul de securitate al DeepSeek este un memento critic pentru CIO

Compus de Julia Annaloro on . postat în Sănătate-ISAC, La stiri.

Actualizat 31 ianuarie 2025, ora 12:12 EST
 

Acest articol din Forbes acoperă următoarele subiecte:

  • Defecțiuni critice de securitate în sistemul DeepSeek
  • Învățați și monitorizați
  • Semnarea contractului CIO
  • Practicați răspunsul la încălcare

Citat extras Health-ISAC:

Răspunsul rapid este deosebit de critic atunci când se confruntă cu încălcări care implică tehnologie neacceptată. Propus recent HIPAA regula impune organizațiilor medicale să restabilească sistemele în termen de 72 de ore. Errol Weiss, ofițerul șef de securitate la Sănătate-ISAC, a spus că aceste trei domenii de mai jos sunt cheie.

  • Viteza este crucială: Cu cât răspundeți mai repede la un incident cibernetic, cu atât mai puține daune pot provoca atacatorul.
  • Urmați planul de răspuns la incident: Dacă aveți un plan de răspuns la incident predefinit, urmați-l îndeaproape.
  • Căutați asistență de specialitate: Dacă vă lipsește experiența internă, luați în considerare angajarea unor profesioniști externi în securitate cibernetică.

Citiți articolul din Forbes. Click aici

Buletin de amenințări: Software-ul SimpleHelp RMM folosit în încercarea de exploatare de a încălca rețelele

Compus de Julia Annaloro on . postat în Sănătate-ISAC, Resurse și știri, Amenințarea inteligenței.

TLP ALB –

Actualizare 30 ianuarie 2025

Health-ISAC, în colaborare cu AHA, a identificat atacuri ransomware tentative și în curs de desfășurare, potențial din cauza vulnerabilităților software de monitorizare și management de la distanță SimpleHelp (RMM). Pe baza amenințării potențiale și a impactului asupra îngrijirii pacienților, AHA a lucrat cu Health-ISAC pentru a se asigura că acest buletin este distribuit pe scară largă în sectorul sănătății.  
 
Se recomandă insistent ca toate cazurile aplicației SimpleHelp, în special în cadrul organizațiilor de îngrijire a sănătății, să fie identificate și ca patch-urile adecvate să fie aplicate conform ghidului buletinului. De asemenea, se recomandă ferm ca organizațiile din domeniul sănătății să se asigure că toți terții și asociații de afaceri care folosesc SimpleHelp aplică, de asemenea, patch-uri adecvate.

Ianuarie 29, 2025

Recent de raportare indică faptul că actorii amenințărilor exploatează vulnerabilități corectate în software-ul SimpleHelp Remote Monitoring and Management (RMM) pentru a obține acces neautorizat la rețelele private. Aceste vulnerabilități urmărite ca CVE-2024-57726, CVE-2024-57727 și CVE-2024-57728, au fost descoperite de cercetătorii Horizon3 la sfârșitul lunii decembrie 2024 și dezvăluite lui SimpleHelp pe 6 ianuarie, determinând compania să lanseze patch-uri. Defectele au fost public divulgate după ce patch-urile au fost lansate pe 13 ianuarie 2025.

Această campanie subliniază importanța gestionării patch-urilor, deoarece actorii amenințărilor folosesc exploit-uri într-o săptămână de la dezvăluirea publică. 

Vulnerabilitățile identificate în SimpleHelp RMM le-ar putea permite atacatorilor să manipuleze fișiere și să treacă privilegiile la nivel administrativ. Un actor de amenințare ar putea înlănțui aceste vulnerabilități într-un atac pentru a obține acces administrativ la serverul vulnerabil și apoi să folosească acel acces pentru a compromite dispozitivul care rulează software-ul client vulnerabil SimpleHelp. 

TLPWHITE Cb3ee67f Software-ul Simplehelp Rmm folosit în încercarea de exploatare de a încălca rețelele
Mărimea : 139.4 kB Format: PDF

 

Potențialele amenințări la adresa directorilor din domeniul sănătății circulă on-line

Compus de Julia Annaloro on . postat în Sănătate-ISAC, La stiri.

 

După împușcarea tragică a CEO-ului UnitedHealthcare din New York City, pe 4 decembrie, Health-ISAC a emis o alertă membrilor pe 9 decembrie, identificând unsprezece măsuri de precauție pe care ar trebui să le ia organizațiile din sectorul sănătății.

Health-ISAC a primit rapoarte cu mai multe postări online care amenință directorii din sectorul sănătății. Forumurile au fost identificate ca o sursă de amenințări care vizează directorii executivi din industria sănătății, în special pe cei mai mari companii de asigurări de sănătate și firme farmaceutice. Health-ISAC a emis un buletin de amenințări pentru a informa sectorul global al sănătății despre ceea ce trebuie să fie conștient și pentru a recomanda măsuri de atenuare pe care organizațiile trebuie să le ia imediat. Vă rugăm să citiți și să distribuiți în sectorul sănătății.

TLPWHITE Da2c7f6d Potențialele amenințări la adresa directorilor din domeniul sănătății circulă online
Mărimea : 3.6 MB Format: PDF

 

Aceste amenințări, care variază de la intimidare generală la apeluri specifice la violență, au apărut în urma uciderii recente a unui director general al UnitedHealthcare. Este important de menționat că autorul acestui recent asasinat nu a fost încă reținut, iar ancheta asupra posibilelor motive este încă în desfășurare.

Deși aceste amenințări care circulă nu au fost verificate, Health-ISAC recomandă o conștientizare sporită în rândul directorilor din domeniul sănătății și măsuri de securitate mai stricte pentru a asigura siguranța. 

Apelurile la violență se pot extinde și în domeniul cibernetic, determinând hacktiviștii să efectueze atacuri DDoS și alte atacuri perturbatoare asupra sectorului sănătății. Health-ISAC recomandă membrilor să rămână vigilenți în ceea ce privește protejarea întregii infrastructuri și ca organizațiile să împărtășească orice detalii despre amenințările la adresa directorilor, astfel încât să putem ține comunitatea informată.

Colectarea valorilor de vulnerabilitate cibernetică este esențială

Compus de Julia Annaloro on . postat în La stiri.

Colectarea valorilor de vulnerabilitate cibernetică este esențială, dar comunicarea acestora către părțile interesate într-un mod clar și convingător este cheia, spune raportul H-ISAC

Pe măsură ce industria sănătății devine din ce în ce mai dependentă de sistemele digitale interconectate, importanța gestionării robuste a vulnerabilităților nu a fost niciodată mai pronunțată. Un recent raportează de Health-ISAC, Valori de vulnerabilitate și raportare, pune în lumină cele mai bune practici și strategii pentru a consolida securitatea cibernetică în sistemele de sănătate.

Citiți articolul complet pe HealthSystemCIO.com Click aici

 

Ghid pentru CTI într-o cutie

Compus de Julia Annaloro on . postat în Sănătate-ISAC, Resurse și știri, Hartii albe.

Această carte albă prezintă o analiză a unui sondaj realizat în rândul membrilor Health-ISAC de către Grupul de lucru pentru dezvoltarea programului Cyber ​​Threat Intelligence (CTI). Sondajul și-a propus să ofere perspective esențiale asupra stării actuale a programelor CTI din sectorul sănătății, identificând punctele forte și oportunitățile de creștere.

 

Scop

Rezultatele sondajului au fost esențiale în ghidarea eforturilor Grupului de lucru de a acorda prioritate rezultatelor de mare valoare și de a încuraja colaborarea în cadrul comunității Health-ISAC. Aceste constatări au informat dezvoltarea resurselor practice menite să sprijine și să promoveze inițiativele CTI.

Descoperiri cheie

Lucrarea explorează 9 constatări cheie din sondaj, care au influențat direct crearea de resurse și instrumente adaptate nevoilor membrilor Health-ISAC. Aceste constatări servesc drept fundație pentru o suită de resurse inovatoare numită CTI într-o cutie. Această resursă cuprinzătoare organizează instrumente esențiale, strategii și cele mai bune practici pentru a împuternici Membrii Health-ISAC în consolidarea programelor lor CTI. Membrii pot accesa CTI într-o cutie prin Health-ISAC Threat Intelligence Portal (H-TIP).

 

Click aici

Continuați lectura

Cyware lansează platforma Threat Intelligence pentru a apăra organizațiile din domeniul sănătății de amenințările cibernetice

Compus de Julia Annaloro on . postat în Sănătate-ISAC, La stiri.

O platformă de inteligență pentru amenințări reglată de industrie pentru a apăra organizațiile din domeniul sănătății de amenințările cibernetice

Soluția special concepută permite echipelor de securitate din domeniul sănătății cu fluxuri de amenințări specifice asistenței medicale și capabilități de răspuns automatizat.

Mențiune media:

Errol Weiss, Chief Security Officer la Health-ISAC și client Cyware, a exprimat nevoia critică pentru această inovație: „Asistența medicală este unul dintre sectoarele cele mai vizate de infractorii cibernetici. Având o platformă de informații despre amenințări, care este concepută special pentru industria noastră, va permite organizațiilor din domeniul sănătății să acceseze rapid informații relevante, acționabile, care pot face o diferență tangibilă în apărarea împotriva atacurilor sofisticate.”

Rachel James, membru al Comitetului de informații despre amenințări Health-ISAC, a remarcat: „Într-un mediu în care timpul este critic, echipele de securitate medicală au nevoie de instrumente care să le permită să facă mai mult cu mai puțin efort, dar cu o mai mare acuratețe. Platforma Cyware Healthcare Threat Intelligence este concepută pentru a identifica și a răspunde rapid amenințărilor specifice asistenței medicale, dând putere organizațiilor să rămână în fața atacurilor fără a fi copleșite de complexitate.”

Citiți comunicatul de presă complet în BusinessWire:

Click aici

Valori de vulnerabilitate și raportare

Compus de Julia Annaloro on . postat în Sănătate-ISAC, Hartii albe.

O carte albă publicată de Grupul de lucru pentru managementul vulnerabilităților Health-ISAC

În lumea interconectată de astăzi, gestionarea vulnerabilităților este un proces de bază pentru toate organizațiile. Valorile și raportarea joacă un rol esențial în monitorizarea serviciilor pe care le oferim, implementarea capacităților de detectare și eforturile de remediere ale echipelor de aplicații sau tehnologie. Povestirea eficientă cu valori și raportare poate ajuta la prezentarea îmbunătățirilor sau a eficacității personalului nostru de asistență tehnologică. Echipa de management al vulnerabilităților ar trebui să aibă un sistem de notare care să reflecte termenele de remediere ale organizației.

Valori și raportare a vulnerabilităților (1)
Mărimea : 2.3 MB Format: PDF