Health-ISAC Hacking Healthcare 6-15-2021
TLP White: Tento týždeň Hackovanie zdravotníctva sa venuje zhromažďovaniu a analýze víru nedávneho vývoja ransomvéru vo verejnom aj súkromnom sektore. Okrem rozboru toho, čo sa stalo, citujeme nové usmernenia a odporúčania a poskytujeme naše myšlienky o tom, ako bol tento vývoj užitočný alebo ako nepomohol pri riešení problému ransomvéru.
Pripomíname, že toto je verejná verzia blogu Hacking Healthcare. Ak chcete získať ďalšiu hĺbkovú analýzu a názor, staňte sa členom H-ISAC a získajte verziu tohto blogu TLP Amber (dostupnú na portáli pre členov.)
Vitajte späť na stránke Hackovanie zdravotníctva.
1. Úvod
Ransomware nemal žiadne problémy s udržaním pozornosti, pretože v posledných týždňoch pribúdali vysokoprofilové incidenty. Vládne orgány a organizácie zo súkromného sektora sa snažia riešiť čoraz hrozivejšiu situáciu a rýchlosť, akou sa celková situácia vyvíja, môže ľahko prehliadnuť kritický vývoj. S ohľadom na to sme venovali toto vydanie Hackovanie zdravotníctva na preskúmanie nedávneho vývoja ransomvéru, posúdenie jeho vplyvu na súkromný sektor a zdôraznenie množstva odporúčaní, ktoré môžu členovia H-ISAC považovať za cenné.
Reakcia vlády
Začíname s Bidenovou administratívou. Administratíva urobila z kybernetickej bezpečnosti prioritnú oblasť a nezistila nedostatok kritických incidentov kybernetickej bezpečnosti, na ktoré treba reagovať. Napriek načasovaniu, ktoré sa zhodovalo s ransomvérovým útokom Colonial Pipeline, nedávne kybernetické výkonné príkazy administratívy týkajúce sa ruského zasahovania, problémov dodávateľského reťazca a kybernetickej bezpečnosti boli prispôsobené predovšetkým ako reakcia na predchádzajúce incidenty ako SolarWinds a boli menej zamerané priamo na problém ransomvéru. . V posledných týždňoch však Bidenova administratíva podnikla mnohé kroky na riešenie neutíchajúcej vlny ransomvéru.
ministerstvo spravodlivosti
V tejto oblasti je obzvlášť aktívne ministerstvo spravodlivosti (DOJ).
Ransomware Task Force: Ako sme stručne popísali v staršom vydaní, koncom apríla bola vydaná interná správa ministerstva spravodlivosti, ktorá oznámila vytvorenie pracovnej skupiny pre ransomvér. Správa uznala, že ransomvér nie je len rastúcou ekonomickou hrozbou, ale aj hrozbou pre zdravie a bezpečnosť amerických občanov.[1] Bolo hlásené, že táto poznámka povedie k lepšiemu zdieľaniu spravodajských informácií naprieč ministerstvom spravodlivosti, vytvoreniu stratégie, ktorá sa zameriava na každý aspekt ekosystému ransomvéru, a celkovo k proaktívnejšiemu prístupu.[2]
Ransomware Elevation: Vyššie uvedená stratégia a prístup boli čiastočne odhalené začiatkom júna, keď bolo oznámené, že sa šírili ďalšie interné usmernenia ministerstva spravodlivosti, ktoré prisúdili vyšetrovaniu útokov ransomvéru podobnú prioritu ako terorizmus.[3] Tento krok si vyžaduje, aby boli prípady a vyšetrovanie ransomvéru centrálne koordinované s pracovnou skupinou ransomvéru vo Washingtone, DC, aby sa zabezpečilo, že pre rôzne zainteresované strany zapojené do incidentov ransomvéru bude možné vytvoriť najlepšie možné pochopenie a operačný obraz.
Výkupné: Keď spoločnosť Colonial Pipeline zaplatila výkupné v bitcoinoch, mnohí predpokladali, že páchatelia a peniaze sú v poriadku. Operácia pod vedením FBI však dokázala zhabať 2.3 milióna dolárov v bitcoinoch vyplatených ako výkupné.[4] FBI údajne sledovala pohyb prostriedkov z výkupného na verejne viditeľnej bitcoinovej knihe a následne získala prístup k virtuálnemu účtu, kde väčšina z nich skončila.[5]
US CYBERCOM
Mimo DOJ má svoju úlohu aj US Cyber Command (CYBERCOM), ktorého poslaním je „Smerovať, synchronizovať a koordinovať plánovanie a operácie v kyberpriestore – brániť a presadzovať národné záujmy – v spolupráci s domácimi a medzinárodnými partnermi“. reagovať na hrozby ransomvéru.[6]
sluch: Vo virtuálnom vypočutí minulý piatok generál Nakasone, súčasne šéf CYBERCOM a riaditeľ NSA, odmietol potrebu nových autorít, ktoré by šli po kyberzločineckých skupinách.[7] Vyhlásil, že si myslí, že má „všetky autority, ktoré potrebujem na to, aby som mohol stíhať spravodajsky proti týmto protivníkom mimo Spojených štátov“.[8] Keď však konkrétne hovorí o ransomvéri, uviedol, že skutočnou výzvou a tou, ktorou sa Bidenova administratíva zaoberá, je to, ako zdieľať a koordinovať spravodajské informácie a akcie s rôznymi verejnými a súkromnými zainteresovanými stranami a zároveň určiť, kto prevezme vedúcu úlohu v celkovom hodnotení. úsilie. [9]
DHS
Usmernenie – CISA: Rastúca hrozba ransomvéru pre aktíva OT: Zvýšený význam ransomvéru viedol aj k zverejneniu ďalších usmernení od vlády, vrátane prehľadu CISA s názvom, Rastúca hrozba ransomvéru pre prevádzkové technologické aktíva.[10] Trojstranový dokument poskytuje prehľad hrozby ransomvéru, konkrétne pre aktíva OT, a potom načrtáva kroky, ktoré by organizácie mali podniknúť, aby sa pripravili na ransomvér, zmiernili ho a reagovali naň.
Rozvoj súkromného sektora
V posledných týždňoch došlo aj k niekoľkým pozoruhodným vývojom ransomvéru v súkromnom sektore. Bohužiaľ, tento vývoj má tendenciu byť skôr negatívny ako pozitívny. Útoky s vysokým profilom ransomvéru naďalej vedú k platbám výkupného vo výške niekoľkých miliónov dolárov a americký Kongres bol veľmi kritický k tomu, ako súkromný sektor reagoval na incidenty.
IST Ransomware Task Force (RTF): RTF, skupina približne 60 odborníkov z verejného aj súkromného sektora, vydala 81-stranovú správu, ktorá poskytuje podrobný a dôkladný rámec na boj proti ransomvéru.[11] Tento dokument by mal pomôcť vzdelávať jednotlivcov o nuansách ransomvéru a zároveň poskytnúť praktické a vykonateľné politické opatrenia.
RTF, ktorý vytvoril Inštitút pre bezpečnosť a technológiu (IST), zahŕňa zastúpenie veľkých technologických firiem ako Microsoft a Amazon; kybernetické bezpečnostné organizácie ako Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber Threat Alliance a Global Cyber Alliance; a vládne organizácie ako Národné centrum kybernetickej bezpečnosti Spojeného kráľovstva (NCSC) a Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť (CISA).
JBS a CNA: JBS, jeden z najväčších spracovateľov mäsa v Spojených štátoch, sa nedávno stal jedným z ďalších významných incidentov ransomvéru po Colonial Pipeline. Útok mal rozsiahle dopady, keďže boli údajne ovplyvnené všetky operácie JBS v Austrálii, Kanade a USA.[12] Nakoniec JBS zaplatila výkupné vo výške približne 11 miliónov dolárov s úmyslom zabezpečiť, aby páchatelia neukradli firemné údaje.[13]
Táto platba je však slabšia v porovnaní s takmer 40 miliónmi dolárov, ktoré poisťovacia organizácia CNA Financial Corp. údajne vyplatila na „opätovné získanie kontroly nad svojou sieťou po útoku ransomvéru“.[14] Aj keď sa zdá, že k tomuto útoku došlo v marci, podrobnosti o platbe výkupného boli zverejnené až koncom mája.
Kongres vyjadril nesúhlas: Na kongresovom vypočutí minulý týždeň zákonodarcovia opakovane rokovali s generálnym riaditeľom Colonial Pipeline Josephom Bluntom o spôsobe, akým reagovali na ich ransomvérový incident. Niektorí zákonodarcovia tvrdili, že dobrovoľné kontroly kybernetickej bezpečnosti Úradom pre bezpečnosť dopravy boli odmietnuté spoločnosťou Colonial Pipeline, pričom zástupkyňa Bonnie Watson Coleman (D) uviedla: „Odkladanie týchto hodnotení tak dlho znamená ich odmietnutie, pane.“[15] Iní namietali proti rozhodnutiu plynovodu neosloviť okamžite DHS a CISA ani neprijať ich pomoc pri operáciách zhodnocovania.[16] Niekoľko členov Kongresu zašlo tak ďaleko, že spochybnili, či sú dobrovoľné štandardy kybernetickej bezpečnosti a prístup „od ruky“ ku kritickej infraštruktúre stále udržateľné.[17]
Akcia a analýza
**Vyžaduje sa členstvo**
Kongres -
Utorok, jún 15th:
– Žiadne relevantné vypočutia
Streda, jún 16:
– Senát – Výbor pre vnútornú bezpečnosť a vládne záležitosti: Pracovné stretnutie na zváženie nominácií Jen Easterlyovej na riaditeľku Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry, ministerstva vnútornej bezpečnosti, a Chrisa Inglisa na národného riaditeľa kybernetickej bezpečnosti.
– Snemovňa reprezentantov – Výbor pre vnútornú bezpečnosť: kybernetické hrozby v potrubí: Poučenie z federálnej reakcie na útok ransomvéru na koloniálne potrubie
štvrtok 17. júna:
– Žiadne relevantné vypočutia
medzinárodná Vypočutia/Stretnutia -
– Žiadne relevantné stretnutia
EÚ -
Konferencie, webináre a samity –
Kontaktujte nás: sledujte @HealthISAC a pošlite e-mail na adresu contact@h-isac.org
[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/
[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html
[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj
[6] https://www.cybercom.mil/About/Mission-and-Vision/
[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf
[11] https://securityandtechnology.org/ransomwaretaskforce/
[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack
[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
- Súvisiace zdroje a správy