H-ISAC Hacking Healthcare 2. 9. 2021

TLP White: Tento týždeň Hackovanie zdravotníctva začína ďalším pohľadom na ransomvér. Konkrétne analyzujeme trendy, ktoré sa objavili počas minulého roka, údaje z posledného štvrťroka 2020 a to, čo nám hovoria o tom, kam veci smerujú a prečo ransomvér, ktorý sa stáva menej lukratívnym pre kybernetických zločincov, môže byť v skutočnosti škodlivý pre sektor zdravotníctva. Zakončíme tým, že rozoberieme netradičnú kybernetickú „hrozbu“, ktorá má potenciál poškodiť zavádzanie očkovania a prečo nie je také ľahké nájsť riešenia.

Pripomíname, že toto je verejná verzia blogu Hacking Healthcare. Ak chcete získať ďalšiu hĺbkovú analýzu a názor, staňte sa členom H-ISAC a získajte verziu tohto blogu TLP Amber (dostupnú na portáli pre členov.)

Vitajte späť na stránke Hackovanie zdravotníctva.

1. Recenzia ransomvéru 2020

Vyzerá to ako bezpečná stávka, že ransomvér bude aj v roku 2021 pohromou, no niektoré novo zverejnené informácie naznačujú, že vyvíjajúce sa metódy a taktiky pomôžu zabezpečiť, že situácia zostane plynulá. Množstvo nedávnych správ pomohlo dať rozsah problému do kontextu a veľký vplyv ransomvéru na sektor zdravotníctva nie je žiadnym prekvapením. Z týchto údajov je niekoľko pozoruhodných poznatkov, vrátane potenciálne povzbudivých správ, ktoré naznačujú, že ransomvérové ​​útoky sú pre páchateľov čoraz menej lukratívne. Naša časť analýzy však preskúma, prečo to nemusí znamenať prínos pre sektor zdravotnej starostlivosti.

Zhrnúť

Najprv si rýchlo zopakujme, kde sa veci nachádzajú. Výzvy, ktorým čelí sektor zdravotníctva, boli za posledný rok obrovské a počítačoví zločinci rozhodne neuľahčili boj s COVID-19. Spoločnosť VMware Carbon Black oznámila v roku 239.4 2020 milióna pokusov o kybernetické útoky proti svojim vlastným klientom v oblasti zdravotnej starostlivosti, čo vyvrcholilo takmer neuveriteľnou štatistikou, že „subjekty zdravotnej starostlivosti zaznamenali v minulom roku 816 útokov na koncový bod, čo je neuveriteľný nárast o 9,851 2019 percent oproti roku XNUMX“.[1] Tieto informácie prichádzajú len niekoľko týždňov po tom, čo spoločnosť Emsisoft pre kybernetickú bezpečnosť oznámila, že v roku 560 bolo ransomvérom zasiahnutých najmenej 2020 zariadení poskytovateľov zdravotnej starostlivosti.[2]

Zdá sa, že najrozšírenejším ransomvérom zasahujúcim sektor zdravotníctva bol Cerber. V roku 2017 sa spoločnosť Cerber výrazne prepadla do roku 2018, predtým, ako sa v minulom roku opäť rozbehla a predstavovala 58 % ransomvérových útokov proti zákazníkom z oblasti zdravotníctva VMware Carbon Black.[3] Zatiaľ čo Carbon Black poznamenal, že Cerber prešiel aktualizáciami a úpravami, úspechy niektorých variantov v roku 2020 sú takmer určite spojené s neopravenými zraniteľnosťami, čo opäť poukazuje na ďalší problém kybernetickej bezpečnosti v sektore zdravotníctva.[4]

Pozitívne znamenie s nebezpečným potenciálom

Na konci s potenciálne dobrými správami vydala spoločnosť Coveware odpoveď na ransomvér a obnovu Štvrťročná správa o ransomvéri za 4. štvrťrok 2020 minulý pondelok. Zdá sa, že najvýznamnejším prínosom je ich správa, že platby za ransomvér výrazne klesli. Podľa ich čísel klesla priemerná platba za ransomvér od 34. štvrťroka 3 zhruba o 2020 %, na 154,108 233,817 USD z XNUMX XNUMX USD.[5] Okrem toho stredná platba za ransomvér uskutočnená v 4. štvrťroku zaznamenala ešte väčší pokles o približne 55 %, na 49,450 110,532 USD zo XNUMX XNUMX USD.[6]

Pred touto najnovšou správou spoločnosť Coveware už predtým hlásila stabilný nárast priemerných a mediánových platieb za ransomvér od 4. štvrťroka 2018.[7] Spoločnosť Coveware pripisuje nedávny pokles čiastočne narušeniu dôvery, že aktéri ransomvéru, ktorí exfiltrujú údaje, ich po prijatí výkupného skutočne vymažú. Početné príklady „vymazaných“ údajov, ktoré sa ďalej predávajú na čiernom trhu alebo sa druhýkrát používajú na zadržanie organizácie za účelom výkupného, ​​zmenili výpočet rizika pre obete ransomvéru.

Hoci celá správa obsahuje oveľa viac informácií, zaujalo nás niekoľko zaujímavých poznámok. Po prvé, e-mailový phishing pokračuje vo svojom vzostupnom raste ako vektor útoku, prelomí hranicu 50 % a predbehne kompromis RDP. Po druhé, približne 70 % útokov ransomvéru v 4. štvrťroku zahŕňalo hrozbu úniku exfiltrovaných údajov, čo predstavuje nárast o 20 percentuálnych bodov oproti 3. štvrťroku.[8] Okrem toho Coveware uvádza, že záškodníci zachádzajú tak ďaleko, že „vymýšľajú exfiltráciu údajov v prípadoch, keď k tomu nedošlo“. Najzaujímavejšou informáciou však môže byť hlásený nárast spoločnosti Coveware v „náraste výskytu nezvratného zničenia údajov v porovnaní s iba cieleným zničením záloh alebo šifrovaním kritických systémov“.[9]

Akcia a analýza

**Vyžaduje sa členstvo**

2. Zdravotníctvo čelí netradičnej kybernetickej „hrozbe“

Zatiaľ čo tímy kybernetickej bezpečnosti v zdravotníctve a IT tímy už čelia skľučujúcej výzve udržať súkromie a bezpečnosť svojich sietí a údajov zoči-voči najrôznejším tradičným štátnym a neštátnym hrozbám, môže sa vyskytnúť ďalšia netradičná technická výzva, kde ich schopnosti môže byť užitočné.

V zhone s očkovaním celých krajín stoja zdravotnícke organizácie pred bezprecedentnou administratívnou a logistickou úlohou organizovať stretnutia pre pacientov, pričom sa snažia o čo najmenšie plytvanie vzácnymi dávkami vakcín. Na pomoc v tomto úsilí mnohé organizácie používajú nejakú formu online portálu alebo plánovača. Americké ministerstvo zdravotníctva a sociálnych služieb (HHS) dokonca vydalo oznámenie o uvážení presadzovania práva Online alebo webové aplikácie plánovania.[10] Bohužiaľ, tieto plánovače sa stali obeťou útokov „botov“ organizovaných skalpermi.

Podľa agentúry Reuters sa „americkí maloobchodníci a lekárne ako Walgreens a CVS Health pripravujú na nové kolo útokov „botov“ zo strany skalperov, ktorí dúfajú, že sa im podarí stihnúť očkovanie proti COVID-19.[11] Aj keď tento druh správania pozná každý, kto sa pokúša kúpiť položky s obmedzeným množstvom, ako sú najnovšie technické pomôcky alebo vstupenky na športové podujatia, obe tieto okolnosti možno ľahšie kategorizovať ako nepríjemnosti. To isté nemožno povedať, ak takéto správanie začne výrazne ovplyvňovať zavádzanie očkovania.

Podľa agentúry Reuters „[v] posledných týždňoch ľudia na sociálnych sieťach zdieľali hororové príbehy o pokusoch zabezpečiť si termíny očkovania z vládnych zdrojov, pričom niektorí obviňovali robotov z pádov stránok a ukradnutých slotov. Walgreens aj CVS uviedli, že sú si vedomí tohto problému a zaviedli viaceré obranné opatrenia na detekciu a prevenciu.

Akcia a analýza
**Vyžaduje sa členstvo**

Kongres -

V utorok 9. februára:

– Žiadne relevantné vypočutia

Streda 10. februára:

– Vypočutie Snemovne reprezentantov – Výboru pre vnútornú bezpečnosť: Homeland Kybernetická bezpečnosť: Hodnotenie kybernetických hrozieb a budovanie odolnosti

štvrtok 11. februára:

– Žiadne relevantné vypočutia

medzinárodná Vypočutia/Stretnutia -

– Žiadne relevantné vypočutia

EÚ -

– Žiadne relevantné vypočutia

Rôzne –

Konferencie, webináre a samity –       

https://h-isac.org/events/

Kontaktujte nás: sledujte @HealthISAC a pošlite e-mail na adresu contact@h-isac.org

[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point

[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020

[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf

[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S

• Súvisiace zdroje a správy