Preskoči na glavno vsebino

Tema objave: Intelligence Threat

Poročilo o zdravstvenem sektorju Health-ISAC – tretje četrtletje 2025

Napisal Julija Annaloro on . Objavljeno v Viri in novice, Intelligence Threat, Nekategorizirane, bele knjige.

Health-ISAC Heartbeat zagotavlja opažanja o izsiljevalski programski opremi, trendih kibernetske kriminalitete in objavah na forumih zlonamernih akterjev, ki bi lahko vplivale na organizacije v zdravstvenem sektorju. Ta izdelek je namenjen zavedanju o situaciji.

Teme:

  • Napadi izsiljevalske programske opreme v zdravstvenem sektorju
  • Analiza globalnih dogodkov
  • Ciljno usmerjeni trendi opozoril
  • Dejavnost podzemnih forumov
  • Profili akterjev groženj in ublažitve
  • Dodatna priporočila

 

 

Medsektorske blaženja: Razpršeni pajek

Napisal Julija Annaloro on . Objavljeno v Posebne posodobitve, Intelligence Threat.

Smernice za proaktivno obrambo

Pripravili so ISAC za finančne storitve, ISAC za informacijsko tehnologijo, ISAC za prehrano in kmetijstvo, ISAC za zdravje, ISAC za letalstvo, ISAC za avtomobilsko industrijo, ISAC za trgovino in gostinstvo, ISAC za pomorski prometni sistem, ISAC za elektroenergetiko in Nacionalni svet ISAC, s prispevki partnerjev iz zasebnega sektorja ISAC za komunikacije.

Prenos

Besedilna različica:

Analiza grožnje razpršenih pajkov

Uvod

Člani Nacionalnega sveta ISAC (NCI) z veliko gotovostjo ocenjujejo, da skupina akterjev grožnje Scattered Spider predstavlja resnično grožnjo in da zaradi svoje sposobnosti izkoriščanja človeških ranljivosti s socialnim inženiringom predstavlja veliko tveganje za organizacije.

Ta analiza podrobno opisuje aktivnost pajka Scattered Spider na podlagi opaženih trgovskih dejavnosti v različnih sektorjih od maja 2025 in zagotavlja:

🔹 Ozadje o Scattered Spiderju, da lahko podjetja bolje ocenijo svojo površino groženj

🔹 Tehnični postopki in kulturne prakse za preprečevanje napadov razpršenih pajkov

🔹 Analiza obveščevalnih podatkov članov Centra za izmenjavo in analizo informacij (ISAC) in FBI ter ustreznih podatkov MITRE ATT&CK® olajšave

Priporočeni ukrepi so se po strokovni oceni obveščevalnih podatkov izkazali za učinkovite proti pajku Scattered Spider in podobnim akterjem. Blažilni ukrepi vključujejo osnovne zahteve FS-ISAC. osnove kibernetike, usklajeno s taktikami, tehnikami in postopki Scattered Spider, ki temeljijo na znanih grožnjah.

Vendar pa akterji grožnje, kot je Scattered Spider, nenehno uvajajo inovacije, zato morajo organizacije skrbno spremljati svoje procese in identitete, da bi odkrile nove izkoriščanja.

Te ugotovitve so skupaj pripravili odbori ISAC za finančne storitve, informacijsko tehnologijo, prehrano in kmetijstvo, zdravstvo, letalstvo, avtomobilsko industrijo, trgovino na drobno in gostinstvo ter pomorski prometni sistem in NCI. NCI sestavlja 28 organizacij in je zasnovan za maksimiranje pretoka informacij med kritično infrastrukturo zasebnega sektorja in vladnimi agencijami.

Ozadje in TTP-ji

Scattered Spider je finančno – in ne ideološko – motivirana skupina mladih neodvisnih operaterjev v Združenem kraljestvu, ZDA in Kanadi. Po mnenju raziskovalcev je Scattered Spider del večje hekerske skupnosti, znane kot The Community ali The Com, ki se organizira prek spletnih platform, vključno s skupinskimi klepeti Discord in Telegram. Scattered Spider uporablja zelo učinkovite tehnike socialnega inženiringa in krajo poverilnic za dostop do ciljnih omrežij, nato pa svoje napade monetizira s krajo podatkov, izsiljevanjem ali izsiljevalsko programsko opremo za pridružene člane. Skupina je znana po obsežnem izvidovanju, ki identificira osebe za posvojitev ali zaposlene za tarčo. Velik del uspeha Scattered Spiderja je mogoče pripisati njegovi hitrosti in prilagodljivemu ciljanju z nizkim naporom.

*****

Stranska vrstica:

Akterji grožnje se pogosto udeležujejo klicev za sanacijo in odzivanje na incidente ter telekonferenc, kjer verjetno ugotavljajo, kako jih varnostne ekipe lovijo, in proaktivno razvijajo nove poti vdora kot odgovor na obrambo žrtve. To se včasih doseže z ustvarjanjem novih identitet v okolju in pogosto podpira z lažnimi profili na družbenih omrežjih, da se prepreči nastanek novih identitet. Opozorilo o kibernetski varnosti: Razpršeni pajek – skupno svetovanje Zveznega preiskovalnega urada (FBI) in Agencije za kibernetsko varnost in varnost infrastrukture (CISA)

*****

Skupina Scattered Spider, ki je aktivna od začetka leta 2022, je bila sprva opažena pri napadih na telekomunikacijske subjekte in subjekte za zunanje izvajanje poslovnih procesov (BPO), verjetno kot odskočna deska za operacije socialnega inženiringa za pridobitev nepooblaščenega dostopa do drugih tarč in njihovih deležnikov. Od takrat je bila skupina povezana z več kot 100 napadi na več tržnih vertikalah, vendar se običajno osredotoča na en sektor naenkrat. Scattered Spider je znan po vdoru v Caesars Entertainment in MGM Resorts leta 2023 ter napadu na Twilio leta 2022, ki je povzročil napad na dobavno verigo, ki je vplival na aplikacijo za sporočanje Signal. Aprila in maja 2025 je ciljala na ameriške in britanske trgovce na drobno, nato pa se je osredotočila na finančni sektor, zlasti zavarovalnice, in letalski sektor.

  1. Začetni dostop pridobljen prek:

    >Napadi socialnega inženiringa

    >Napadi utrujenosti pri MFA

  2. Zajema skrbniške pravice z:

    • Odlaganje poverilnic
    • Shranjene poverilnice in skrivnosti

 

3. Obstojnost dosežena z:

>Načrtovane naloge

>Zlonamerne storitve

>Ustvarjanje lokalnega uporabnika

>Mehanizmi vztrajnosti v oblaku

 

4. Izogibanje obrambi, omogočeno z:

>Onemogočanje AV/EDR

Spreminjanje skupinskih pravilnikov v sistemu Windows

>Onemogočanje programa Defender, beleženja ali telemetrije

>Odstranjevanje gonilnikov EDR

5. Bočno gibanje prek:

>PsExec

>Oddaljeno delo PowerShell

>WMI

>Zakonite povezave VPN ali Citrix

 

Tipična taktika je prepričati agente IT-službe za pomoč uporabnikom, da za ciljne račune izvedejo samostojno ponastavitev gesel (SSPR). Tehnike Scattered Spider vključujejo uporabo sporočila storitve kratkih sporočil (SMS) – tj. pošiljanje kratkih sporočil – in glasovno lažno predstavljanje (smishing in vishing) za zajemanje poverilnic za nadzorne plošče z enotno prijavo (SSO), Microsoft Office 365/Azure, VPN-je in robne naprave.

Skupina je znana tudi po ugrabitvi večfaktorske avtentikacije (MFA) z zamenjavo modula za identiteto naročnika (SIM). Nato premaga MFA z izčrpanostjo od obvestil ali prepriča agente službe za pomoč uporabnikom, da ponastavijo metodo MFA ciljnih računov.

Po uspešnem vdoru v uporabniški račun operativci Scattered Spider registrirajo druge naprave pod tem računom. Ko lahko pridobijo skrbniške pravice, v okolju žrtve ustvarijo račune, ki jih nadzoruje napadalec. Nato akter grožnje vzpostavi vztrajnost za nepooblaščen dostop do okolja žrtve in zgradi redundanco, da prepreči poskuse odstranitve zlonamerne programske opreme ali dostopa.

Nadaljnje izvidniške dejavnosti vključujejo poskuse odkrivanja korporativnih platform – vključno z Windows, Linux, Google Workspace, Microsoft Entra ID (prej Azure Active Directory), Microsoft 365, AWS in drugimi orodji, ki gostujejo v oblačni infrastrukturi – ter prenos ustreznih orodij za izkoriščanje občutljivih podatkov.

*****

Stranska vrstica:

Health-ISAC je prejel obveščevalne podatke, ki povezujejo botnet Amadey z napadi Scattered Spider. Botnet Amadey so uporabljali akterji izsiljevalske programske opreme, kot so BlackSuit, BlackBasta in Akira, za spuščanje nalagalcev zlonamerne programske opreme v omrežja žrtev. Botnet se je izognil ukrepom organov pregona proti platformam zlonamerne programske opreme kot storitve (MaaS), kar mu je omogočilo razvoj od leta 2018.

*****

To poglobljeno razumevanje izvorne infrastrukture žrtve omogoča skupini Scattered Spider izvajanje zlonamernih nadaljnjih dejavnosti. Prav s tem poglobljenim razumevanjem – npr. s sposobnostjo izvajanja tehnik preživetja od zemlje – se lahko skupina izogne standardnim metodam odkrivanja. Skupina grožnje lahko namesti tudi zlonamerno programsko opremo, ki spusti zlonamerne podpisane gonilnike, namenjene prekinitvi procesov, povezanih z varnostno programsko opremo, in brisanju datotek.

Scattered Spider uporablja nedavno registrirana in zelo prepričljiva imena lažnih domen, ki posnemajo legitimne prijavne portale, zlasti strani za preverjanje pristnosti Okta. Te domene imajo kratko življenjsko dobo ali čas delovanja, zaradi česar je odkrivanje težko.

Od leta 2023 je skupina Scattered Spider opazila uporabo petih različnih kompletov za lažno predstavljanje, saj so se strategije uvajanja skupine razvile in vključujejo ponudnike dinamičnega DNS-a. Poleg tega je skupina v svojo napadalno verigo vključila trojanca za oddaljeni dostop (RAT) Spectre za uvajanje zlonamerne programske opreme v ogrožene sisteme, da bi pridobila trajen dostop. Ta zlonamerna programska oprema vključuje mehanizme za oddaljeno odstranitev in posredovanje povezav z dodatnimi strežniki za upravljanje in nadzor (C2), kar kaže na to, da skupina morda uporablja infrastrukturo C2 za izvajanje ukrepov po izkoriščanju v omrežjih žrtev.

*****

Stranska vrstica:

Znana domenska imena, ki jih uporablja Scattered Spider

  • targetname-sso[.]com
  • targetsname-servicedesk[.]com
  • targetsname-okta[.]com
  • targetname-cms[.]com
  • targetsname-helpdesk[.]com
  • oktalogin-targetcompany[.]com

Razpršeni pajek Svetovanje o kibernetski varnosti skupaj so ga pripravili FBI, CISA, kraljeva kanadska konjeniška policija, avstralski center za kibernetsko varnost pri avstralskem direktoratu za signale, avstralska zvezna policija, kanadski center za kibernetsko varnost in nacionalni center za kibernetsko varnost Združenega kraljestva

*****

Priporočila

Naslednja priporočila so se izkazala za učinkovita za člane ISAC. Številna so povzeta po priporočilih FS-ISAC. osnove kibernetike, pristop, ki temelji na tveganju in zagotavlja globinsko obrambo ter je uporaben za organizacije na kateri koli stopnji kibernetske zrelosti.

Uporabite postopek večkanalnega preverjanja — Nobena organizacija se ne bi smela zanašati na en sam komunikacijski kanal za spremembe gesel zaposlenih ali zahteve za ponastavitev večfaktorskih potrdil (MFA). Nekatera podjetja lahko izkoristijo vnaprej določen seznam vprašanj, na katera lahko odgovori le zaposleni, da sprožijo ponastavitev gesel in MFA. Zaposleni v IT bi se morali vedno počutiti pooblaščene, da izpodbijajo zahtevo za preverjanje katerega koli drugega zaposlenega.

Akcijski koraki:

  • Oddelek za IT bi moral uporabljati večkanalno preverjanje, vključno z:
  • Preverjanje zahtev, oddanih po e-pošti, SMS-u ali telefonu, s povratnim klicem na vnaprej registrirano in znano telefonsko številko
  • Statične PIN-e na fizični znački
  • Vizualna validacija
  • Uporabite glasovno geslo, ki ga poznajo le zaposleni, ali niz odgovorov na vprašanja, ki jih ni enostavno uganiti, npr. »Kakšen je dekliški priimek vaše matere? Kdaj ste začeli delati? Kakšna je oznaka sredstva vašega službenega prenosnika?«

Zahtevajte, da dva zaposlena odobrita določene vrste zahtev – na primer velike finančne nakazila – ali zahteve zaposlenih z visoko stopnjo privilegijev.

  • Obrnite se na vodjo zaposlenega, ko zaposleni zahteva ponastavitev poverilnic in večfaktorske autentifikacije..
  • Spodbujajte kulturo, v kateri se od IT-oseb pričakuje in je pooblaščeno, da podvomijo v kakršne koli nenavadne ali zelo občutljive zahteve, tudi od vodilnih delavcev, brez strahu pred posledicami.

 

Osredotočite se na taktike socialnega inženiringa — Scattered Spider se zanaša na izkoriščanje socialnega inženiringa in je zelo ustvarjalen pri uporabi lažnega predstavljanja, vishinga in smishinga. Skupina groženj pogosto v svoje vabe vzbuja občutek nujnosti in izkorišča strahove, empatijo in spoštovanje avtoritete žrtev. Vključite te TTP-je v simulacije in preizkusite odzive zaposlenih nanje.

Akcijski koraki:
  • Izvajajte stalna, obvezna usposabljanja za ozaveščanje o varnosti in simulacije lažnega predstavljanja z običajnimi in trenutnimi vabami.
  • Prilagodite usposabljanje delovnemu mestu – služba za pomoč uporabnikom IT, predstavniki službe za stranke, kadrovska služba in vodstvo lahko potrebujejo podrobnejše in specifično usposabljanje o taktikah akterjev groženj in trenutnih kampanjah.
  • Predstavnike službe za stranke usposobite za postopke službe za pomoč uporabnikom. Na primer, poudarite, da njihova služba za pomoč uporabnikom nikoli ne bo zahtevala, da zaposlenega namesti programsko opremo za oddaljeno pomoč ali zaobide kateri koli varnostni nadzor.
  • Uporabite najmanjše privilegije, da bodo zaposleni, zlasti predstavniki službe za stranke, od končnega uporabnika zahtevali dodatno preverjanje, preden jim omogočijo večji dostop.

 

Preglejte profile skrbnikov na družbenih omrežjih, zlasti skrbnikov oblaka Profili in objave skrbnikov na družbenih omrežjih lahko nenamerno prikazujejo informacije, povezane z delom – npr. odgovornosti, delovno zgodovino, sodelavce, dnevno rutino –, ki jih akterji grožnje uporabljajo za prilagajanje napadov (npr. izkoriščanje potovalnih načrtov za vzpostavitev verodostojnosti ali nujnosti v napadalni kampanji). Skrbniki oblaka so posebne tarče. Pridobitev njihovih pravic dostopa bi akterjem grožnje omogočila dostop do dragocenih virov v oblaku in nadzor nad njimi ter možnost povzročitve obsežne škode. Podjetja bi morala uvesti politike družbenih omrežij, ki opisujejo informacije, ki jih akterji grožnje izkoriščajo, in prepovedati takšne informacije v objavah na družbenih omrežjih. Redno pregledujte družbena omrežja skrbnikov – zlasti objave skrbnikov oblaka – glede skladnosti s politiko družbenih omrežij.

Akcijski koraki:
  • Razviti in uveljaviti podrobne, dostopno specifične politike družbenih medijev, ki pojasnjujejo vrste informacij, ki jih je dovoljeno objavljati in katerih ne.
  • Izvedite revizije za zagotovitev skladnosti.
  • Zagotovite usposabljanje o tveganjih deljenja občutljivih poklicnih podatkov.

 

Ocena pravic dostopa do službe za pomoč uporabnikom - Pravice službe za pomoč uporabnikom se lahko sčasoma spreminjajo in včasih dajejo privilegije vsem skrbniškim konzolam, kot so pretok pošte, varnostni nadzor itd. Revizija pravic dostopa do službe za pomoč uporabnikom zagotavlja usklajenost z operativnimi potrebami, hkrati pa preprečuje nepooblaščen dostop, ki bi ga lahko izkoristili akterji grožnje, kot je Scattered Spider. Avtomatizirani sistemi upravljanja izboljšujejo nadzor.

Akcijski koraki:
  • Uvedite avtomatizirane sisteme za stalno spremljanje in prilagajanje pravic dostopa.
  • Načrtujte redne preglede dostopa, da zagotovite skladnost z delovnimi nalogami.

Spremljanje virtualnih strojev v oblačnih okoljih – Implementirajte orodja za spremljanje, ki bodo opozarjala na nepooblaščene dejavnosti virtualnih strojev (VM), kot so sumljive storitve, nenormalna uporaba virov in poskusi eskalacije privilegijev, s protokoli za hitro izolacijo in zaustavitev sumljivih VM. Ta zmogljivost hitrega odzivanja je ključnega pomena za prepoznavanje sumljivih dejavnosti, preprečevanje morebitnih kršitev in zmanjševanje groženj.

Akcijski koraki:
  • Pripravite seznam dovoljenih dejavnosti.
  • Uvedite sisteme za spremljanje in opozarjanje ter poiščite vrzeli v njih.
  • Vzpostavite protokole za hiter odziv na nepooblaščene dejavnosti.
  • Odpravite nepotrebna orodja RMM in vključite žetone honeytoken okoli uporabe orodij RMM za zgodnje odkrivanje in opredelitev prstnih odtisov.
  • Konfigurirajte brskalnike in opravila tako, da redno brišejo trajne piškotke.
  • Zmanjšajte čas delovanja spletnih piškotkov – Scattered Spider jih uporablja za vzpostavitev trajnega dostopa in izbruh podatkov.

 

Pregled varnostnih kontrolnikov infrastrukture virtualnih namiznih računalnikov - Zagotovite, da so okolja infrastrukture virtualnih namiznih računalnikov (VDI) zavarovana z MFA in nenehno spremljajte dejavnosti uporabnikov.

Akcijski koraki:
  • Preglejte seznam uporabnikov VDI, da se prepričate, da je posodobljen.
  • Uveljavite večstransko pomoč.
  • Ne dovolite osebnim napravam neposrednega dostopa do storitev Office 365, Enterprise Google Workspace, poslovnih VPN-jev itd.
  • Zahtevajte večfaktorsko preverjanje pristnosti (MFA), odporno proti lažnemu predstavljanju, kot so YubiKeys, Windows Hello for Business itd. Ne zaupajte uporabnikom, da bodo odobrili zahteve MFA ali dali kode.
  • Če ima organizacija VDI, ki omogoča dostop tretjih oseb, zagotovite, da ti VDI-ji ne morejo dostopati do varnih lupin (SSH) ali protokolov oddaljene mize (RDP) ali do spletnih mest, ki jih uporabnik ne potrebuje za opravljanje svojega dela.
  • Redno izvajajte revizije in spremljanje vseh uporabniških sej v realnem času.
  • Potrdite, da v nobeni aplikaciji, vključno z aplikacijami dobaviteljev, ni večfaktorskih sporočil prek SMS-a. Večfunkcijska asistenca prek SMS-ov lahko predstavlja znatno tveganje, ker:
      • SMS sporočila je mogoče prestreči, ker niso šifrirana
      • Napadalci lahko zaobidejo MFA s socialnim inženiringom
      • Grožnje lahko pridobijo nadzor nad telefonsko številko, prestrežejo SMS sporočila in pridobijo nepooblaščen dostop z zamenjavo SIM kartice.
      • Izpadi lahko uporabnikom preprečijo prejemanje kod za preverjanje pristnosti

 

Prepoznavanje dostopnih točk in blokiranje dostopa z visokim tveganjem – Številne organizacije morajo zaposlenim, regulativnim agencijam, zunanjim ponudnikom in drugim omogočiti dostop do svoje digitalne infrastrukture. Vse vstopne točke – zlasti tiste z visokim tveganjem – zaščitite s kontrolniki ali blokadami in predpostavite, da so vsi ponudniki upravljanih storitev ogroženi.

Akcijski koraki:
  • Ne dajajte tretjim osebam neomejenega dostopa do poslovnega omrežja.
  • Zamenjajte VPN-je med lokacijami z virtualnimi deljenimi viri (VDI) z uporabo večfaktorske autentifikacije (MFA), odporne proti lažnemu predstavljanju, in ničelnega zaupanja, kjer koli je to mogoče.
  • Prepoznajte in blokirajte novo ustvarjene domene, ki so videti kot potencialna spletna mesta za lažno predstavljanje (npr. domenska imena, ki uporabljajo tipografske napake).
  • Blokirajte izvajanje vseh izvedljivih datotek RAT na upravljanih napravah.
  • Blokirajte spletna mesta vseh znanih komercialnih orodij za oddaljeno pomoč.
  • Kjer je to izvedljivo, uvedite geografsko blokiranje.
  • Blokirajte komercialne VPN-je, ki se povezujejo s poslovnim VPN-jem ali VDI-jem, s storitvijo, kot sta ip2proxy ali Spur.
  • Blokirajte vrste naprav v omrežju VPN, če jih predstavniki službe za stranke ne uporabljajo. (Nasprotniki so pogosto uporabljali naprave Android x86.)

 

Dovoljenja za revizijo, odobrena kadrovski službi - Stroga uskladitev dovoljenj kadrovske službe z operativnimi potrebami ščiti občutljive podatke o zaposlenih in finančne podatke.

Akcijski koraki:
  • Izvedite celovito revizijo dovoljenj za dostop do kadrovske službe.
  • Preverite pravice dostopa prodajalcev in ponudnikov.
  • Izobražujte kadrovsko službo o tveganjih kibernetske varnosti in pravilnem ravnanju s podatki.

 

Pripomočki za premikanje raziskovalnih podatkov v aplikacijah SaaS - Spremljanje in sledenje premikom podatkov znotraj sistemov SaaS (programska oprema kot storitev) (npr. Salesforce ali ServiceNow) je ključnega pomena, ker imajo aplikacije SaaS pogosto na voljo pripomočke za premik podatkov (tretjih oseb) za različne namene in lahko vsebujejo občutljive podatke.

Akcijski koraki:
  • Integrirajte spremljanje premikanja podatkov v podatke dnevnika.
  • Nastavite avtomatizirana opozorila in kontrole za nenavadne dejavnosti s podatki.

 

Pregled zaupanja vrednih IP-naslovov, izvzetih iz MFA - Organizacije lahko znižajo strogost MFA glede zahtev iz zaupanja vrednega omrežja, kot je VPN, pisarniško omrežje itd. Zmanjšanje teh izjem MFA krepi nadzor dostopa do omrežja, kar je ključni korak pri zavarovanju finančnih in občutljivih podatkov.

Akcijski koraki:
  • Ponovno ocenite in posodobite seznam zaupanja vrednih naslovov IP v okolju.
  • Zamenjajte statični seznam dovoljenih IP-jev z dinamičnimi pravilniki pogojnega dostopa.

 

Prepoznajte notranjo grožnjo, ki jo predstavljajo predstavniki službe za stranke — Razpršeni pajek pogosto pridobi začetni dostop do poslovnih sistemov tako, da prelisiči predstavnike službe za stranke – vendar jih tudi rekrutira. Redno pregledujte sistem za morebitne zlonamerne dejavnosti.

Akcijski koraki:
  • Preverite dejavnosti predstavnikov službe za stranke glede znakov morebitne ogroženosti, kot so:
    • Veliko število ponastavitev gesel ali ogledov računa v kratkem času
    • Dostop do računov strank brez ujemanja korakov preverjanja (npr. vnos PIN-a stranke, ujemanje z ANI itd.)
    • »Žongliranje s poverilnicami«, tj. prijava v VPN s poverilnicami, ki se razlikujejo od tistih, ki se uporabljajo za dostop do orodij za družbene odgovornosti
  • V dnevnikih podpore za klepet/e-pošto poiščite poskuse zaposlovanja z uporabo iskanja nizov, ki se nanašajo na pogoste izraze, uporabljene v nagovarjanju k zaposlitvi, kot so »Telegram«, »Wickr« ali »Obogatite se«.
  • Uvedite časovno omejen dostop za predstavnike službe za stranke do poverilnic in VPN ter opozorite na vse prijave zunaj običajnega delovnega časa agentov.

 

Taktike in blažitve razpršenih pajkov

Naslednja tabela vključuje analizo obveščevalnih podatkov, ki so jih delile tisoče organizacij članic, ki so jo izvedli strokovnjaki ISAC za kibernetsko varnost. Številne taktike je FBI odkril med preiskavami Scattered Spider, ki so opisane v skupnem poročilu. Svetovanje CISA in FBI o kibernetski varnosti Scattered SpiderUkrepi za ublažitev MITRE ATT&CK so izpeljani iz analize TTP-jev, ki temelji na opazovanjih organizacije v resničnem svetu.

OGLEJTE SI ZGORAJ V PDF-JU.

 

 

Poročilo o kibernetskih grožnjah v zdravstvenem sektorju Health-ISAC 2025 – zdaj v portugalščini

Napisal Julija Annaloro on . Objavljeno v V Novicah, Posebne posodobitve, Intelligence Threat, bele knjige.

Posodobljeno 30. maja 2025.

U tradução em português deste relatório foi adicionada abaixo.
(Spodaj je dodan portugalski prevod tega poročila)

 

Letno poročilo o nevarnostih – 2025

Leto 2024 je bilo leto izzivov na področju kibernetske varnosti za sisteme zdravstvenega sektorja po vsem svetu.

Pokrajina kibernetskih groženj zdravstvenega sektorja Health-ISAC 2025 poudarja stalno stopnjevanje kibernetskih napadov. Ključne ugotovitve vključujejo porast napadov z izsiljevalsko programsko opremo z vse bolj izpopolnjenimi tehnikami, ki jih uporabljajo akterji groženj.

Poročilo poudarja tudi naraščajočo grožnjo akterjev iz nacionalnih držav in kibernetskega vohunjenja, ki cilja na občutljive podatke bolnikov in intelektualno lastnino. Poleg tega je porast naprav interneta medicinskih stvari (IoMT) uvedel nove ranljivosti, medtem ko razvijajoče se okolje groženj zahteva nenehno prilagajanje varnostnih ukrepov za organizacije zdravstvenega sektorja po vsem svetu.

Vključuje naslednje in ključne vpoglede, pridobljene iz podatkov ankete:
  • Pet največjih kibernetskih groženj, s katerimi se soočajo organizacije zdravstvenega sektorja v letu 2024
  • Pet največjih kibernetskih groženj, ki si jih organizacije zdravstvenega sektorja ogledujejo v letu 2025
  • Proizvajalci medicinskih pripomočkov poročajo o treh največjih izzivih pri razvoju varnih medicinskih pripomočkov
  • Trije največji vplivi na organizacije za zagotavljanje zdravstvene oskrbe

Letno poročilo o grožnjah Health ISAC 2025
Velikost: 7.1 MB Oblika: PDF

Relatório Anual de Ameaças – 2025

2024 foi um ano desafiador em termos de segurança cibernética para sistems do setor de saúde em todo o mundo.

anorama de Ameaças Cibernéticas OP do Setor de Saúde do Health-ISAC 2025 destaca uma escalada contínua de ataques cibernéticos. Ker principais conclusões incluem um aumento nos ataques de ransomware, com técnicas cada vez mais sofisticadas empregadas por agentes de ameaças.

O relatório também enfatiza a crescente ameaça de agentes estatais-nação e da ciberespionagem, visando e da ciberespionagem, visando dados sensíveis de pacientes e propriedade intellectual. Além disso, o surgimento de dispositivos de Internet das Coisas Médicas (IoMT) introduziu novas vulnerabilidades, enquanto o cenário de ameaças em evolução exige a adaptação contínua de medidas de segurança para organizações do setor de saúde em todo o mundo.

Inclui o seguinte, além de insights importantes extraídos dos dados da pesquisa:

  • As cinco principais ameaças cibernéticas enfrentadas pelas organizações do setor da saúde em 2024
  • As cinco principais ameaças cibernéticas que as organizações do setor da saúde estão enfrentando em 2025
  • Os três principais desafios relatados pelos fabricantes de dispositivos médicos no desenvolvimento de dispositivos médicos seguros
  • Os três principais impactos nas organizações de prestação de serviços de saúde

 

Health ISAC Setor De Saúde 2025 Panorama De Ameaças Cibernéticas
Velikost: 2.6 MB Oblika: PDF

Varnostno tveganje DeepSeeka je pomemben opomnik za direktorje informatike

Napisal Julija Annaloro on . Objavljeno v Zdravje-ISAC, V Novicah.

Posodobljeno 31. januarja 2025, 12:12 EST
 

Ta članek v Forbesu pokriva naslednje teme:

  • Kritične varnostne napake v sistemu DeepSeek
  • Učite in spremljajte
  • Podpis pogodbe CIO
  • Vadite odziv na kršitev

Izvlečen citat Health-ISAC:

Hiter odziv je še posebej kritičen pri vdorih, ki vključujejo nepodprto tehnologijo. Pred kratkim predlagana HIPAA Pravilo zahteva, da zdravstvene organizacije obnovijo sisteme v 72 urah. Errol Weiss, glavni varnostnik pri zdravje-ISAC, dejal, da so ta tri področja ključna.

  • Hitrost je ključnega pomena: Hitreje ko se odzovete na kibernetski incident, manj škode lahko povzroči napadalec.
  • Sledite svojemu načrtu odzivanja na incident: Če imate vnaprej določen načrt odzivanja na incidente, ga natančno upoštevajte.
  • Poiščite strokovno pomoč: Če nimate lastnega strokovnega znanja, razmislite o angažiranju zunanjih strokovnjakov za kibernetsko varnost.

Preberite članek v Forbesu. Klikni tukaj

Bilten o grožnjah: programska oprema SimpleHelp RMM, uporabljena pri poskusu izkoriščanja za vdor v omrežja

Napisal Julija Annaloro on . Objavljeno v Zdravje-ISAC, Viri in novice, Intelligence Threat.

TLP BELA –

Posodobitev 30. januarja 2025

Health-ISAC je v sodelovanju z AHA identificiral poskuse in stalne napade z izsiljevalsko programsko opremo, ki so morda posledica ranljivosti programske opreme za oddaljeno spremljanje in upravljanje SimpleHelp (RMM). Glede na potencialno grožnjo in vpliv na oskrbo pacientov je AHA sodelovala z Health-ISAC, da bi zagotovila široko distribucijo tega biltena v zdravstvenem sektorju.  
 
Močno je priporočljivo, da se identificirajo vsi primerki aplikacije SimpleHelp, zlasti znotraj zdravstvenih organizacij, in da se v skladu z navodili v biltenu uporabijo ustrezni popravki. Prav tako je močno priporočljivo, da zdravstvene organizacije zagotovijo, da vsi tretji in poslovni partnerji, ki uporabljajo SimpleHelp, prav tako uporabljajo ustrezne popravke.

Januar 29, 2025

Nedavne Blog Objave poročanje kaže, da akterji groženj izkoriščajo popravljene ranljivosti v programski opremi SimpleHelp Remote Monitoring and Management (RMM) za pridobitev nepooblaščenega dostopa do zasebnih omrežij. Te ranljivosti, ki jim sledimo kot CVE-2024-57726, CVE-2024-57727 in CVE-2024-57728, so konec decembra 3 odkrili raziskovalci Horizon2024 in 6. januarja razkrili SimpleHelp, zaradi česar je podjetje izdalo popravke. Pomanjkljivosti so bile javne razkriti po izdaji popravkov 13. januarja 2025.

Ta kampanja poudarja pomen upravljanja popravkov, saj akterji groženj uporabijo podvige v enem tednu po javnem razkritju. 

Ranljivosti, ugotovljene v SimpleHelp RMM, bi lahko napadalcem omogočile manipulacijo z datotekami in stopnjevanje privilegijev skrbniku. Akter grožnje bi lahko te ranljivosti povezal v napad, da bi pridobil skrbniški dostop do ranljivega strežnika in nato ta dostop uporabil za ogrožanje naprave, v kateri se izvaja ranljiva odjemalska programska oprema SimpleHelp. 

Programska oprema TLPWHITE Cb3ee67f Simplehelp Rmm, uporabljena pri poskusu izkoriščanja za vdor v omrežja
Velikost: 139.4 kB Oblika: PDF

 

Potencialne grožnje vodilnim v zdravstvu krožijo po spletu

Napisal Julija Annaloro on . Objavljeno v Zdravje-ISAC, V Novicah.

 

Po tragičnem ustrelitvi izvršnega direktorja UnitedHealthcare v New Yorku 4. decembra je Health-ISAC 9. decembra članom izdal opozorilo, v katerem je opredelil enajst previdnostnih ukrepov, ki bi jih morale sprejeti organizacije zdravstvenega sektorja.

Health-ISAC je prejel poročila o številnih objavah na spletu, ki grozijo vodstvenim delavcem v zdravstvenem sektorju. Forumi so bili ugotovljeni kot vir groženj, namenjenih izvršnim direktorjem v zdravstveni industriji, zlasti tistim, ki vodijo velike zdravstvene zavarovalnice in farmacevtske družbe. Health-ISAC je izdal bilten o grožnjah, da bi svetovni zdravstveni sektor obvestil o tem, na kaj mora biti pozoren, in organizacijam priporočil ukrepe za ublažitev, ki naj jih sprejmejo takoj. Preberite in delite v zdravstvenem sektorju.

TLPWHITE Da2c7f6d Potencialne grožnje vodilnim v zdravstvu krožijo po spletu
Velikost: 3.6 MB Oblika: PDF

 

Te grožnje, ki segajo od splošnega ustrahovanja do posebnih pozivov k nasilju, so se pojavile po nedavnem umoru generalnega direktorja UnitedHealthcare. Pomembno je omeniti, da storilec tega nedavnega atentata še ni bil prijet, preiskava morebitnih motivov pa še poteka.

Čeprav te krožeče grožnje niso bile preverjene, Health-ISAC priporoča večjo varnostno ozaveščenost med zdravstvenimi delavci in strožje varnostne ukrepe za zagotovitev varnosti. 

Pozivi k nasilju se lahko razširijo na kibernetsko področje, zaradi česar hektivisti izvajajo DDoS in druge moteče napade na zdravstveni sektor. Health-ISAC priporoča, da člani ostanejo pozorni na varovanje vse infrastrukture in da organizacije posredujejo morebitne podrobnosti o grožnjah vodstvenim delavcem, da lahko obveščamo skupnost.

Zbiranje meritev kibernetske ranljivosti je ključnega pomena

Napisal Julija Annaloro on . Objavljeno v V Novicah.

Zbiranje meritev kibernetske ranljivosti je ključnega pomena, vendar je ključnega pomena njihovo sporočanje zainteresiranim stranem na jasen in prepričljiv način, piše v poročilu H-ISAC

Ker postaja zdravstvena industrija vse bolj odvisna od medsebojno povezanih digitalnih sistemov, pomen robustnega upravljanja ranljivosti še nikoli ni bil bolj izrazit. Nedavna poročilo avtor Health-ISAC, Meritve ranljivosti in poročanje, osvetljuje najboljše prakse in strategije za krepitev kibernetske varnosti v zdravstvenih sistemih.

Preberite celoten članek na HealthSystemCIO.com Klikni tukaj

 

Smernice za CTI v škatli

Napisal Julija Annaloro on . Objavljeno v Zdravje-ISAC, Viri in novice, bele knjige.

Ta bela knjiga predstavlja analizo raziskave, ki jo je med člani Health-ISAC izvedla delovna skupina za razvoj programa Cyber ​​Threat Intelligence (CTI). Namen raziskave je bil zagotoviti kritičen vpogled v trenutno stanje programov CTI v zdravstvenem sektorju ter opredeliti prednosti in priložnosti za rast.

 

Namen

Rezultati ankete so bili ključnega pomena pri usmerjanju prizadevanj delovne skupine za prednostno razvrščanje rezultatov visoke vrednosti in spodbujanje sodelovanja v skupnosti Health-ISAC. Te ugotovitve so prispevale k razvoju praktičnih virov, namenjenih podpori in pospeševanju pobud CTI.

Ključne ugotovitve

Prispevek raziskuje 9 ključnih ugotovitev iz raziskave, ki so neposredno vplivali na ustvarjanje virov in orodij, prilagojenih potrebam članov Health-ISAC. Te ugotovitve služijo kot temelj za inovativno zbirko virov z imenom CTI v škatli. Ta obsežen vir organizira osnovna orodja, strategije in najboljše prakse za opolnomočenje članov Health-ISAC pri krepitvi njihovih programov CTI. Člani lahko dostopajo CTI v škatli preko Health-ISAC Portal za obveščanje o grožnjah (H-TIP).

 

Klikni tukaj

nadaljujte z branjem

Cyware lansira platformo za obveščanje o grožnjah za obrambo zdravstvenih organizacij pred kibernetskimi grožnjami

Napisal Julija Annaloro on . Objavljeno v Zdravje-ISAC, V Novicah.

Industrijsko prilagojena platforma za obveščanje o grožnjah za obrambo zdravstvenih organizacij pred kibernetskimi grožnjami

Namenska rešitev omogoča varnostnim skupinam v zdravstvu vire groženj, specifične za zdravstveno varstvo, in zmožnosti samodejnega odzivanja.

Medijska omemba:

Errol Weiss, glavni varnostnik pri Health-ISAC in stranki Cyware, je izrazil kritično potrebo po tej inovaciji: »Zdravstveno varstvo je eden najbolj ciljnih sektorjev kibernetskih kriminalcev. Platforma za obveščanje o grožnjah, ki je zasnovana posebej za našo industrijo, bo zdravstvenim organizacijam omogočila hiter dostop do ustreznih vpogledov, ki jih je mogoče uporabiti in ki lahko bistveno spremenijo obrambo pred sofisticiranimi napadi.«

Rachel James, članica odbora Health-ISAC za obveščanje o grožnjah, je opozoril: »V okolju, kjer je čas ključnega pomena, ekipe za varnost v zdravstvu potrebujejo orodja, ki jim omogočajo, da naredijo več z manj truda, vendar z večjo natančnostjo. Platforma Cyware's Healthcare Threat Intelligence Platform je zasnovana za hitro prepoznavanje in odzivanje na specifične grožnje za zdravstveno varstvo, kar organizacijam omogoča, da ostanejo pred napadi, ne da bi jih zapletenost preobremenila.«

Preberite celotno sporočilo za javnost v BusinessWire:

Klikni tukaj

Meritve ranljivosti in poročanje

Napisal Julija Annaloro on . Objavljeno v Zdravje-ISAC, bele knjige.

Bela knjiga, ki jo je objavila Delovna skupina za upravljanje ranljivosti Health-ISAC

V današnjem vedno povezanem svetu je upravljanje ranljivosti temeljni proces za vse organizacije. Meritve in poročanje igrajo ključno vlogo pri spremljanju storitev, ki jih nudimo, izvajanju zmožnosti zaznavanja in prizadevanjih aplikacij ali tehnoloških skupin za odpravo napak. Učinkovito pripovedovanje zgodb z meritvami in poročanjem lahko pomaga predstaviti izboljšave ali učinkovitost našega osebja za tehnološko podporo. Skupina za obvladovanje ranljivosti mora imeti sistem točkovanja, ki odraža časovne načrte sanacije organizacije.

Meritve ranljivosti in poročanje (1)
Velikost: 2.3 MB Oblika: PDF