H-ISAC Hacking Healthcare 2-9-2021
TLP White: Den här veckan, Hacking Healthcare börjar med en ny titt på ransomware. Specifikt analyserar vi trender som dykt upp under det senaste året, data från sista kvartalet 2020 och vad det säger oss om vart saker är på väg och varför ransomware blir mindre lukrativt för cyberbrottslingar faktiskt kan vara skadligt för sjukvårdssektorn. Vi avslutar med att bryta ner ett icke-traditionellt cyber-"hot" som har potential att skada vaccinationsutbyggnaden, och varför lösningar kanske inte är så lätta att komma fram till.
Som en påminnelse är detta den offentliga versionen av Hacking Healthcare-bloggen. För ytterligare djupgående analys och åsikter, bli medlem i H-ISAC och få TLP Amber-versionen av denna blogg (tillgänglig i medlemsportalen.)
Välkommen tillbaka till Hacking Healthcare.
1. Ransomware-recension 2020
Det verkar som ett säkert kort att ransomware kommer att fortsätta att vara ett gissel under 2021, men en del nysläppt information tyder på att utvecklande metoder och taktik kommer att hjälpa till att säkerställa att situationen förblir flytande. Ett antal senaste rapporter har hjälpt till att sätta frågans omfattning i ett sammanhang, och den överdrivna påverkan som ransomware har haft på sjukvårdssektorn är ingen överraskning. Det finns flera anmärkningsvärda uttag från denna data, inklusive potentiellt uppmuntrande nyheter som tyder på att ransomware-attacker blir mindre lukrativa för förövarna. Vår analysavdelning kommer dock att undersöka varför det kanske inte signalerar en fördel för sjukvårdssektorn.
Återblick
Först, låt oss snabbt sammanfatta var saker och ting står. Utmaningarna som sjukvårdssektorn står inför har varit enorma under det senaste året, och cyberbrottslingar har verkligen inte gjort det lättare att hantera covid-19. VMware Carbon Black rapporterade 239.4 miljoner försök till cyberattacker bara mot sina egna vårdklienter under 2020, vilket kulminerade i den nästan otroliga statistiken att "sjukvårdsenheter såg 816 attacker per endpoint förra året, en otrolig ökning med 9,851 2019 procent från XNUMX."[1] Denna information kommer bara några veckor efter att cybersäkerhetsföretaget Emsisoft rapporterade att minst 560 vårdgivare drabbades av ransomware 2020.[2]
Avskräckande nog verkar den vanligaste ransomware som drabbat sjukvårdssektorn ha varit Cerber. Under 2017 hade Cerber tappat avsevärt 2018, innan det tog fart igen förra året och stod för 58 % av ransomware-attacker mot VMware Carbon Blacks kunder inom hälsosektorn.[3] Medan Carbon Black noterade att Cerber hade genomgått uppdateringar och anpassningar, är några av varianternas framgångar under 2020 nästan säkert kopplade till oparpade sårbarheter, vilket återigen belyser en extra svårighet med cybersäkerhet i sjukvårdssektorn.[4]
Ett positivt tecken med farlig potential
Slutar med potentiellt goda nyheter, släppte ransomware-svar och återställningsföretaget Coveware sina Kvartalsrapport för Ransomware för fjärde kvartalet 4 i måndags. Det viktigaste tycks vara deras rapportering om att betalningar av ransomware har minskat avsevärt. I deras antal sjönk den genomsnittliga ransomware-betalningen med ungefär 2020 % från tredje kvartalet 34, ner till 3 2020 USD från 154,108 233,817 USD.[5] Dessutom såg medianutbetalningen av ransomware som gjordes under fjärde kvartalet en ännu större minskning med cirka 4 %, ner till 55 49,450 USD från 110,532 XNUMX USD.[6]
Före denna senaste rapport hade Coveware tidigare rapporterat stadiga ökningar av genomsnittliga och medianutbetalningar av ransomware som går tillbaka till Q4 2018.[7] Coveware tillskriver den senaste tidens nedgång delvis till urholkningen av förtroendet för att ransomware-aktörer som exfiltrerar data faktiskt kommer att radera dem när de tar emot en lösensumma. Flera exempel på "raderade" data som säljs vidare på den svarta marknaden, eller används för att hålla en organisation mot lösen en andra gång, har förändrat riskkalkylen för offer för ransomware.
Medan hela rapporten innehåller mycket mer information, fångade några intressanta anteckningar vårt öga. För det första fortsätter nätfiske med e-post sin uppåtgående klättring som en attackvektor, bryter 50 %-strecket och går om RDP-kompromiss. För det andra involverade ungefär 70 % av ransomware-attackerna under fjärde kvartalet ett hot om att läcka exfiltrerad data, en ökning med 4 procentenheter jämfört med tredje kvartalet.[8] Dessutom rapporterar Coveware att illvilliga aktörer går så långt som att "tillverka dataexfiltrering i fall där det inte inträffade." Den mest oroande informationen kan dock vara Covewares rapporterade ökning i "ökningen av förekomsten av irreversibel dataförstöring i motsats till bara riktad förstörelse av säkerhetskopior eller kryptering av kritiska system."[9]
Handling & Analys
**Kräver medlemskap**
2. Sjukvården står inför ett icke-traditionellt cyber-"hot"
Medan hälso- och sjukvårdssektorns cybersäkerhets- och IT-team redan står inför den skrämmande utmaningen att upprätthålla integriteten och säkerheten för sina nätverk och data inför alla typer av traditionella statliga och icke-statliga hot, kan det finnas en annan icke-traditionell teknisk utmaning där deras kunskaper kan vara användbart.
I brådskan för att få hela länder vaccinerade, står sjukvårdsorganisationer inför den oöverträffade administrativa och logistiska uppgiften att organisera möten för patienter samtidigt som de strävar efter minsta möjliga slöseri med dyrbara vaccindoser. För att underlätta detta arbete har många organisationer använt någon form av onlineportal eller schemaläggare. US Department of Health and Human Services (HHS) släppte till och med ett meddelande om verkställighetsskicklighet för Online eller webbaserade schemaläggningsapplikationer.[10] Tyvärr har dessa schemaläggare blivit offer för "bot"-attacker orkestrerade av scalpers.
Enligt Reuters, "amerikanska återförsäljare och apotek som Walgreens och CVS Health förbereder sig för en ny omgång av "bot"-attacker av skalperare i hopp om att få tag på covid-19-vaccintider."[11] Även om den här typen av beteende är bekant för alla som försöker köpa mängdbegränsade föremål, som den senaste tekniska gadgeten eller biljetter till sportevenemang, kategoriseras båda dessa omständigheter lättare som irriterande. Detsamma kan inte sägas om ett sådant beteende börjar avsevärt påverka vaccinationsutbyggnaden.
Enligt Reuters, "de senaste veckorna har människor delat skräckhistorier på sociala medier om försök att säkra vaccinationstider från regeringskällor, med några som skyller bots för sajtkrascher och stulna slots." Både Walgreens och CVS har indikerat att de är medvetna om problemet och har inrättat flera försvar för upptäckt och förebyggande.
Handling & Analys
**Kräver medlemskap**
Kongressen -
Tisdag, februari 9th:
– Inga relevanta utfrågningar
Onsdag, februari 10th:
– Representanthuset – Utfrågningsutskottet för inrikessäkerhet: Homeland Cybersecurity: Att bedöma cyberhot och bygga motståndskraft
Torsdagen den 11 februari:
– Inga relevanta utfrågningar
Internationell Utfrågningar/möten -
– Inga relevanta utfrågningar
EU -
– Inga relevanta utfrågningar
Diverse –
Konferenser, webbseminarier och toppmöten –
Kontakta oss: följ @HealthISAC och maila till contact@h-isac.org
[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point
[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020
[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf
[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S
- Relaterade resurser och nyheter