Хеалтх-ИСАЦ Хацкинг Хеалтхцаре 6

Јун 17, 2021

ТЛП Вхите: Ове недеље, Хацкинг Хеалтхцаре је посвећен прикупљању и анализи вртлога недавних развоја рансомвера у јавном и приватном сектору. Поред разлагања онога што се дешава, цитирамо нове смернице и препоруке и дајемо своја размишљања о томе како су ови развоји били од помоћи или бескорисни у решавању проблема рансомвера.

Подсећамо, ово је јавна верзија блога Хацкинг Хеалтхцаре. За додатну детаљну анализу и мишљење, постаните члан Х-ИСАЦ-а и примите ТЛП Амбер верзију овог блога (доступну на порталу за чланове).

Добродошли назад Хацкинг Хеалтхцаре.

КСНУМКС. увод

Рансомваре није имао проблема да задржи рефлекторе јер су инциденти високог профила наставили да се повећавају током последњих неколико недеља. Владине власти и организације приватног сектора се боре да се позабаве све страшнијом ситуацијом, а брзина којом се свеукупна ситуација развија може олакшати да се пропусте критични догађаји. Имајући то на уму, посветили смо ово издање од Хацкинг Хеалтхцаре за испитивање недавних развоја рансомваре-а, процену њиховог утицаја на приватни сектор и истицање бројних препорука које би чланови Х-ИСАЦ-а могли сматрати драгоценим.

Одговор владе

Почињемо са Бајденовом администрацијом. Администрација је сајбер безбедност поставила као приоритетну област и није открила недостатак критичних инцидената у сајбер безбедности на које треба реаговати. Упркос времену које се поклапа са нападом рансомваре-а Цолониал Пипелине, недавна извршна наређења администрације у вези са сајбером о руском мешању, изазовима у ланцу снабдевања и сајбер-безбедности су скројена првенствено као одговор на претходне инциденте као што је СоларВиндс и мање су фокусирана директно на питање рансомвера. . Међутим, у протеклих неколико недеља Бајденова администрација је предузела бројне кораке ка решавању неумољивог таласа рансомваре-а.

Одељење за правосуђе

Министарство правде (ДОЈ) је било посебно активно у овој области.

Радна група за рансомваре: Као што смо укратко покрили у ранијем издању, интерни допис Министарства правде објављен је крајем априла у којем је најављено формирање радне групе за рансомваре. Меморандум је препознао да рансомваре није само растућа економска претња, већ и претња по здравље и безбедност америчких грађана.[КСНУМКС] Извештава се да ће овај меморандум довести до побољшане размене обавештајних података широм ДОЈ-а, стварања стратегије која циља сваки аспект екосистема рансомваре-а и проактивнијег приступа уопште.[КСНУМКС]

Рансомваре Елеватион: Горе поменута стратегија и приступ делимично су представљени почетком јуна када је објављено да су дистрибуиране даље интерне смернице ДОЈ-а које су истрагама напада рансомвера дале сличан приоритет као и тероризам.[КСНУМКС] Овај потез захтева да случајеви рансомвера и истраге буду централно координисани са радном групом за рансомвер у Вашингтону, ДЦ, како би се обезбедило да се створи најбоље могуће разумевање и оперативна слика за различите заинтересоване стране укључене у инциденте рансомвера.

Рансом Рецовери: Када је Цолониал Пипелине платио откупнину у Битцоин-у, многи су претпоставили да су починиоци и да је новац нестао. Међутим, операција коју је водио ФБИ успела је да заплени 2.3 милиона долара у биткоинима исплаћеним као откупнину.[КСНУМКС] ФБИ је наводно пратио кретање средстава од откупнине на јавно видљивој биткоин књизи, а затим је добио приступ виртуелном налогу где је већина тога завршила.[КСНУМКС]

УС ЦИБЕРЦОМ

Изван ДОЈ-а, америчка сајбер команда (ЦИБЕРЦОМ), чија је мисија да „усмерава, синхронизује и координира планирање и операције сајбер простора – да брани и унапреди националне интересе – у сарадњи са домаћим и међународним партнерима“, такође има улогу у реаговање на претње рансомваре-а.[КСНУМКС]

Слух: На виртуелном саслушању прошлог петка, генерал Накасоне, који се сматра и шефом САЈБЕРКОМ-а и директором НСА, одбио је потребу за новим властима да би се бавили групама сајбер-криминалаца.[КСНУМКС] Изјавио је да мисли да има „сва овлашћења која су ми потребна да бих у обавештајном смислу могао да кривично гони ове противнике ван Сједињених Држава“.[КСНУМКС] Међутим, посебно када је реч о рансомваре-у, он је рекао да је прави изазов, и онај на који Бајденова администрација ради, како делити и координисати обавештајне податке и акције са различитим јавним и приватним заинтересованим странама, истовремено одређујући ко ће преузети вођство у укупном напори. [КСНУМКС]

ДЗИ

Смернице – ЦИСА: Све већа претња рансомваре-а за ОТ имовину: Повећана важност рансомваре-а такође је довела до објављивања додатних упутстава владе, укључујући ЦИСА информативни лист под насловом, Све већа претња рансомваре-а за оперативна технолошка средства.[КСНУМКС] Документ од три странице даје преглед претње рансомваре-а, посебно за ОТ имовину, а затим наводи радње које организације треба да предузму да би се припремиле, ублажиле и одговориле на рансомваре.

Развој приватног сектора

Последњих недеља било је и неколико значајних развоја софтвера за рансомвер који се односи на приватни сектор. Нажалост, ови развоји су били више негативни него позитивни. Напади рансомваре-а високог профила и даље резултирају исплатама откупнине у износу од више милиона долара, а амерички Конгрес је био веома критичан према томе како је приватни сектор реаговао на инциденте.

ИСТ Радна група за рансомваре (РТФ): РТФ, група од око 60 стручњака из јавног и приватног сектора, објавила је извештај од 81 странице који пружа детаљан и темељан оквир за борбу против рансомваре-а.[КСНУМКС] Овај документ би требало да помогне у едукацији појединаца о нијансама рансомваре-а, а истовремено пружа практичне и практичне мере политике.

Окупљени од стране Института за безбедност и технологију (ИСТ), РТФ укључује представнике великих технолошких фирми као што су Мицрософт и Амазон; организације за сајбер безбедност као што су Рапид7, Пало Алто Нетворкс, Циберсецурити Цоалитион, Цибер Тхреат Аллианце и Глобал Цибер Аллианце; и владине организације попут Националног центра за сајбер безбедност Уједињеног Краљевства (НЦСЦ) и Агенције за сајбер безбедност и инфраструктурну безбедност САД (ЦИСА).

ЈБС & ЦНА: ЈБС, један од највећих прерађивача меса у Сједињеним Државама, недавно је постао један од наредних инцидената високог профила рансомваре-а након Цолониал Пипелине-а. Напад је имао широке последице, јер су наводно погођене операције ЈБС-а у Аустралији, Канади и САД.[КСНУМКС] На крају, ЈБС је платио откуп од око 11 милиона долара са намером да осигура да починиоци не украду податке компаније.[КСНУМКС]

Међутим, та уплата бледи у поређењу са скоро 40 милиона долара које је осигуравајућа организација ЦНА Финанциал Цорп. наводно исплатила да би „повратила контролу над својом мрежом након напада рансомвера“.[КСНУМКС] Иако се чини да се тај напад догодио у марту, детаљи о исплати откупнине постали су јавни тек крајем маја.

Конгрес гласи неодобравање: На саслушању у Конгресу прошле недеље, законодавци су у више наврата сарађивали са извршним директором Цолониал Пипелине-а Џозефом Блантом на начин на који су реаговали на њихов инцидент са софтвером за рансомваре. Неки законодавци су тврдили да је Цолониал Пипелине одбио добровољне прегледе сајбер-безбедности Управе за безбедност транспорта, при чему је представница Бони Вотсон Колман (Д) изјавила: „Толико дуго одлагање ових процена значи њихово одбијање, господине.“[КСНУМКС] Други су оспорили одлуку гасовода да одмах не контактира ДХС и ЦИСА нити прихвати њихову помоћ у операцијама опоравка.[КСНУМКС] Неколико чланова Конгреса отишло је толико далеко да је поставило питање да ли су добровољни стандарди сајбер безбедности и приступ критичној инфраструктури и даље одрживи.[КСНУМКС]

Акција и анализа
**Потребно је чланство**

Конгрес -

Уторак, јун КСНУМКСтх:

– Нема релевантних саслушања

Среда, јун КСНУМКСтх:

– Сенат – Комитет за унутрашњу безбедност и владине послове: Пословни састанак на којем се разматрају номинације Џен Истерли, за директора Агенције за сајбер безбедност и инфраструктурну безбедност, Одељење за унутрашњу безбедност, и Криса Инглиса за националног директора за сајбер.

- Представнички дом – Комитет за домовинску безбедност: сајбер претње у припреми: поуке из савезног одговора на напад рансомваре-а на колонијални канал

четвртак, 17. јун:

– Нема релевантних саслушања

Medjunarodna Саслушања/Састанци -

– Нема релевантних састанака

ЕУ -

Конференције, вебинари и самити –

https://h-isac.org/events/

Контактирајте нас: пратите @ХеалтхИСАЦ и е-маил на цонтацт@х-исац.орг

[КСНУМКС] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[КСНУМКС] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[КСНУМКС] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[КСНУМКС] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[КСНУМКС] https://www.cybercom.mil/About/Mission-and-Vision/

[КСНУМКС] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[КСНУМКС] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[КСНУМКС] https://securityandtechnology.org/ransomwaretaskforce/

[КСНУМКС] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[КСНУМКС] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[КСНУМКС] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

Повезани ресурси и вести