Preskoči na glavno vsebino

Health-ISAC Hacking Healthcare 6

TLP White: Ta teden, Vdiranje v zdravstvo je namenjen združevanju in analizi vrtinca nedavnega razvoja izsiljevalske programske opreme v javnem in zasebnem sektorju. Poleg tega, da razčlenjujemo, kaj se je dogajalo, navajamo nove smernice in priporočila ter podajamo svoje misli o tem, kako je bil ta razvoj koristen ali neuporaben pri reševanju težave z izsiljevalsko programsko opremo.

Naj vas spomnimo, da je to javna različica spletnega dnevnika Hacking Healthcare. Za dodatno poglobljeno analizo in mnenje postanite član H-ISAC in prejmite TLP Amber različico tega bloga (na voljo na portalu za člane).

 

Dobrodošli nazaj na Vdiranje v zdravstvo.

 

1. Predstavitev

Izsiljevalska programska oprema ni imela težav z ohranjanjem pozornosti, saj so se odmevni incidenti v zadnjih nekaj tednih še naprej kopičili. Vladni organi in organizacije zasebnega sektorja se trudijo rešiti vse hujše razmere, hitrost, s katero se splošne razmere razvijajo, pa lahko zlahka spregleda kritične dogodke. S tem v mislih smo posvetili to številko Vdiranje v zdravstvo do preučevanja nedavnega razvoja izsiljevalske programske opreme, ocene njihovega vpliva na zasebni sektor in poudarjanja številnih priporočil, ki se članom H-ISAC morda zdijo dragocena.

 

Odgovor vlade

 

Začnemo z Bidnovo administracijo. Administracija je kibernetsko varnost postavila za prednostno področje in ni ugotovila pomanjkanja kritičnih kibernetskih incidentov, na katere se je treba odzvati. Kljub temu, da čas sovpada z napadom izsiljevalske programske opreme Colonial Pipeline, so bili nedavni izvršni ukazi uprave o ruskem vmešavanju, izzivih v dobavni verigi in kibernetski varnosti, povezani s kibernetskimi programi, prilagojeni predvsem kot odziv na predhodne incidente, kot je SolarWinds, in so bili manj osredotočeni neposredno na vprašanje izsiljevalske programske opreme. . Vendar pa je v zadnjih nekaj tednih Bidnova administracija sprejela številne korake za obravnavo neizprosnega vala izsiljevalske programske opreme.

 

Oddelek za pravosodje

 

Ministrstvo za pravosodje (DOJ) je bilo na tem področju še posebej aktivno.

 

Delovna skupina za izsiljevanje: Kot smo na kratko opisali v prejšnji izdaji, je bilo konec aprila izdano interno obvestilo DOJ, ki je napovedalo ustanovitev delovne skupine za izsiljevalsko programsko opremo. Memorandum priznava, da izsiljevalska programska oprema ni samo naraščajoča gospodarska grožnja, ampak tudi grožnja zdravju in varnosti ameriških državljanov.[1] Poročali so, da bo ta dopis privedel do izboljšane izmenjave obveščevalnih podatkov v DOJ, oblikovanja strategije, ki cilja na vse vidike ekosistema izsiljevalske programske opreme, in bolj proaktivnega pristopa na splošno.[2]

 

Ransomware Elevation: Zgoraj omenjena strategija in pristop sta bila delno razkrita v začetku junija, ko je bilo objavljeno, da so bile razširjene dodatne notranje smernice Ministrstva za pravosodje, ki dajejo preiskavam napadov z izsiljevalsko programsko opremo podobno prednost kot terorizem.[3] Ta poteza zahteva, da se primeri in preiskave izsiljevalske programske opreme centralno usklajujejo z delovno skupino za izsiljevalsko programsko opremo v Washingtonu, DC, da se zagotovi najboljše možno razumevanje in operativna slika za različne zainteresirane strani, vpletene v incidente z izsiljevalsko programsko opremo.

 

Izterjava odkupnine: Ko je Colonial Pipeline plačal zahtevo po odkupnini v bitcoinih, so mnogi domnevali, da so storilci in denar tako dobri, kot da so pošli. Vendar je operaciji pod vodstvom FBI uspelo zaseči 2.3 milijona dolarjev v bitcoinih, plačanih kot odkupnina.[4] FBI je domnevno sledil gibanju sredstev za odkupnino v javno vidni knjigi bitcoinov in nato pridobil dostop do virtualnega računa, kjer je večina končala.[5]

 

US CYBERCOM

 

Zunaj DOJ ima pomembno vlogo tudi ameriško kibernetsko poveljstvo (CYBERCOM), katerega poslanstvo je "Usmerjanje, sinhroniziranje in usklajevanje načrtovanja in operacij v kibernetskem prostoru – za obrambo in napredovanje nacionalnih interesov – v sodelovanju z domačimi in mednarodnimi partnerji". odzivanje na grožnje izsiljevalske programske opreme.[6]

 

zaslišanje: V virtualnem zaslišanju prejšnji petek je general Nakasone, ki ima dvojni klobuk tako kot vodja CYBERCOM kot direktor NSA, zavrnil potrebo po novih organih za preganjanje skupin kibernetskega kriminala.[7] Izjavil je, da meni, da ima "vsa pooblastila, ki jih potrebujem, da lahko obveščevalno preganjam te nasprotnike zunaj Združenih držav."[8] Ko je posebej govoril o izsiljevalski programski opremi, je povedal, da je pravi izziv, s katerim se ukvarja Bidnova administracija, kako deliti in usklajevati obveščevalne podatke in ukrepanje z različnimi javnimi in zasebnimi deležniki, hkrati pa določiti, kdo prevzame vodstvo na splošno. prizadevanja. [9]

 

Ministrstvo za domovinsko varnost

 

Smernice – CISA: naraščajoča grožnja izsiljevalske programske opreme za sredstva OT: Povečan pomen izsiljevalske programske opreme je privedel tudi do objave dodatnih smernic vlade, vključno z informativnim listom CISA z naslovom, naraščajoča grožnja izsiljevalske programske opreme za operativna tehnološka sredstva.[10] Tristranski dokument podaja pregled grožnje izsiljevalske programske opreme, zlasti sredstev OT, nato pa opisuje ukrepe, ki bi jih morale organizacije sprejeti, da se pripravijo na izsiljevalsko programsko opremo, jo ublažijo in se odzovejo nanjo.

 

Razvoj zasebnega sektorja

 

V zadnjih tednih je prišlo tudi do nekaj opaznih dogodkov izsiljevalske programske opreme, ki se nanašajo na zasebni sektor. Na žalost so bili ti dogodki bolj negativni kot pozitivni. Odmevni napadi z izsiljevalsko programsko opremo še naprej povzročajo plačila večmilijonskih odkupnin, ameriški kongres pa je bil zelo kritičen do tega, kako se je zasebni sektor odzval na incidente.

 

IST Ransomware Task Force (RTF): RTF, skupina približno 60 strokovnjakov iz javnega in zasebnega sektorja, je objavila 81-stransko poročilo, ki zagotavlja podroben in temeljit okvir za boj proti izsiljevalski programski opremi.[11] Ta dokument bi moral pomagati pri izobraževanju posameznikov o niansah izsiljevalske programske opreme, obenem pa zagotavljati praktične in izvedljive politične ukrepe.

 

RTF, ki ga združuje Inštitut za varnost in tehnologijo (IST), vključuje predstavnike večjih tehnoloških podjetij, kot sta Microsoft in Amazon; organizacije za kibernetsko varnost, kot so Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber ​​Threat Alliance in Global Cyber ​​Alliance; in vladne organizacije, kot sta Nacionalni center za kibernetsko varnost Združenega kraljestva (NCSC) in Agencija ZDA za kibernetsko varnost in varnost infrastrukture (CISA).

 

 

JBS & CNA: JBS, eden največjih predelovalcev mesa v Združenih državah, je pred kratkim postal eden od naslednjih odmevnih incidentov z izsiljevalsko programsko opremo po Colonial Pipeline. Napad je imel obsežne posledice, saj naj bi bile prizadete operacije JBS v Avstraliji, Kanadi in ZDA.[12] Na koncu je JBS plačal odkupnino v višini približno 11 milijonov dolarjev z namenom zagotoviti, da storilci ne bodo ukradli podatkov podjetja.[13]

 

Vendar pa je to plačilo bledo v primerjavi s skoraj 40 milijoni dolarjev, ki jih je zavarovalniška organizacija CNA Financial Corp. domnevno plačala za »ponovno pridobitev nadzora nad svojim omrežjem po napadu z izsiljevalsko programsko opremo«.[14] Čeprav se zdi, da se je ta napad zgodil marca, so podrobnosti o plačilu odkupnine postale javne šele konec maja.

 

Kongres izraža neodobravanje: Na zaslišanju v kongresu prejšnji teden so se zakonodajalci večkrat pogovarjali z izvršnim direktorjem Colonial Pipeline Josephom Bluntom o tem, kako so se odzvali na njihov incident z izsiljevalsko programsko opremo. Nekateri zakonodajalci so trdili, da je Colonial Pipeline zavrnil prostovoljne preglede kibernetske varnosti uprave za prometno varnost, pri čemer je predstavnica Bonnie Watson Coleman (D) izjavila: "Tako dolgo odlašanje teh ocen pomeni njihovo zavrnitev, gospod."[15] Drugi so nasprotovali odločitvi plinovoda, da se ne obrne takoj na DHS in CISA ali sprejme njuno pomoč pri obnovitvenih operacijah.[16] Nekaj ​​članov kongresa je šlo tako daleč, da so se spraševali, ali so prostovoljni standardi kibernetske varnosti in pristop »odstranitve rok« do kritične infrastrukture še vzdržni.[17]

 

Akcija in analiza
**Obvezno članstvo**

 

 

Kongres -

 

Torek, junij 15th:

– Ni ustreznih zaslišanj

 

Sreda, junij 16th:

– Senat – Odbor za domovinsko varnost in vladne zadeve: Poslovni sestanek za preučitev nominacij Jen Easterly, za direktorico Agencije za kibernetsko varnost in varnost infrastrukture, Ministrstvo za domovinsko varnost, in Chrisa Inglisa, za nacionalnega kibernetskega direktorja.

 

-Predstavniški dom – Odbor za domovinsko varnost: Kibernetske grožnje v pripravi: Lekcije iz zveznega odziva na napad izsiljevalske programske opreme Colonial Pipeline

 

Četrtek, 17. junij:

– Ni ustreznih zaslišanj

 

Facebook Global Zaslišanja/sestanki -

– Ni ustreznih srečanj

 

EU -

 

 

 

Konference, spletni seminarji in srečanja na vrhu –

 

 

https://h-isac.org/events/

 

Pišite nam: sledite @HealthISAC in pišite na contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Sorodni viri in novice