Health-ISAC Hacking Healthcare 6-15-2021
TLP White: Den här veckan, Hacking Healthcare är dedikerad till att samla och analysera virvelvinden av den senaste utvecklingen av ransomware i både den offentliga och privata sektorn. Förutom att bryta ner vad som har hänt, citerar vi ny vägledning och rekommendationer och ger våra tankar om hur denna utveckling har varit till hjälp eller ohjälpsam för att lösa problemet med ransomware.
Som en påminnelse är detta den offentliga versionen av Hacking Healthcare-bloggen. För ytterligare djupgående analys och åsikter, bli medlem i H-ISAC och få TLP Amber-versionen av denna blogg (tillgänglig i medlemsportalen.)
Välkommen tillbaka till Hacking Healthcare.
1. Inledning
Ransomware har inte haft några problem att behålla rampljuset eftersom högprofilerade incidenter har fortsatt att öka under de senaste veckorna. Statliga myndigheter och organisationer i den privata sektorn försöker ta itu med den allt svårare situationen, och den hastighet med vilken den övergripande situationen utvecklas kan göra det lätt att missa kritiska händelser. Med detta i åtanke har vi dedikerat denna upplaga av Hacking Healthcare att undersöka den senaste utvecklingen av ransomware, bedöma deras inverkan på den privata sektorn och lyfta fram ett antal rekommendationer som H-ISAC-medlemmar kan tycka är värdefulla.
Regeringens svar
Vi börjar med Biden-administrationen. Administrationen har gjort cybersäkerhet till ett prioriterat problemområde och har inte funnit någon brist på kritiska cybersäkerhetsincidenter att reagera på. Trots tidpunkten som sammanföll med Colonial Pipeline ransomware-attacken, skräddarsyddes administrationens senaste cyberrelaterade verkställande order om rysk inblandning, utmaningar i leveranskedjan och cybersäkerhet främst som ett svar på tidigare incidenter som SolarWinds och var mindre fokuserade på frågan om ransomware . Men under de senaste veckorna har Biden-administrationen tagit många steg för att ta itu med den obönhörliga vågen av ransomware.
Justitiedepartementet
Justitiedepartementet (DOJ) har varit särskilt aktivt på detta område.
Ransomware Task Force: Som vi kortfattat diskuterade i en tidigare utgåva, utfärdades ett internt DOJ-memo i slutet av april som tillkännagav bildandet av en ransomware-arbetsgrupp. Memoet erkände att ransomware inte bara var ett växande ekonomiskt hot, utan också ett hot mot hälsa och säkerhet för amerikanska medborgare.[1] Det har rapporterats att detta memo kommer att leda till förbättrad intelligensdelning över DOJ, skapandet av en strategi som riktar sig till alla aspekter av ransomware-ekosystemet och ett mer proaktivt tillvägagångssätt överlag.[2]
Ransomware Höjd: Den tidigare nämnda strategin och tillvägagångssättet avslöjades delvis i början av juni när det rapporterades att ytterligare intern DOJ-vägledning cirkulerade som gav utredningar av ransomware-attacker en liknande prioritet som terrorism.[3] Flytten kräver att ransomware-fall och utredningar koordineras centralt med ransomware-arbetsgruppen i Washington, DC för att säkerställa att bästa möjliga förståelse och operativa bild kan skapas för de olika intressenterna som är involverade i ransomware-incidenter.
Återvinning av lösen: När Colonial Pipeline betalade lösensumman i Bitcoin antog många att förövarna och pengarna var så gott som borta. En FBI-ledd operation kunde dock beslagta 2.3 miljoner dollar i Bitcoin som betalats ut i lösen.[4] FBI påstås ha spårat lösensummedlens rörelse på en offentligt synlig Bitcoin-reskontra och fick sedan tillgång till det virtuella kontot där det mesta hamnade.[5]
US CYBERCOM
Utanför DOJ har US Cyber Command (CYBERCOM), vars uppdrag är att "direkta, synkronisera och koordinera cyberrymden planering och operationer - för att försvara och främja nationella intressen - i samarbete med inhemska och internationella partners", också en roll att spela i svara på ransomware-hot.[6]
Hörsel: I en virtuell utfrågning förra fredagen avböjde general Nakasone, dubbelhatad som både chef för CYBERCOM och chef för NSA, att behöva nya myndigheter för att gå efter cyberkriminella grupper.[7] Han uppgav att han tror att han har "alla myndigheter jag behöver för att kunna åtala underrättelsemässigt mot dessa motståndare utanför USA."[8] Men när han specifikt talade om ransomware, berättade han att den verkliga utmaningen, och den som Biden-administrationen arbetar igenom, är hur man delar och samordnar intelligens och åtgärder med olika offentliga och privata intressenter samtidigt som han bestämmer vem som tar ledningen överlag. ansträngningar. [9]
DHS
Vägledning – CISA: Rising Ransomware Threat to OT Assets: Den ökade betydelsen av ransomware har också lett till publiceringen av ytterligare vägledning från regeringen, inklusive ett CISA-faktablad med titeln, Stigande ransomware-hot mot operativa teknologitillgångar.[10] Det tresidiga dokumentet ger en översikt över ransomware-hotet, specifikt mot OT-tillgångar, och beskriver sedan åtgärder som organisationer bör vidta för att förbereda sig för, mildra och svara på ransomware.
Privata sektorns utveckling
Det har också skett några anmärkningsvärda ransomware-utvecklingar som hänför sig till den privata sektorn under de senaste veckorna. Tyvärr har denna utveckling tenderat att vara mer negativ snarare än positiv. Högprofilerade ransomware-attacker fortsätter att resultera i lösensummor på flera miljoner dollar, och den amerikanska kongressen har varit mycket kritisk till hur den privata sektorn har reagerat på incidenter.
IST Ransomware Task Force (RTF): RTF, en grupp på ~60 experter från både den offentliga och privata sektorn, släppte en 81-sidig rapport som ger en detaljerad och grundlig ram för att bekämpa ransomware.[11] Det här dokumentet bör hjälpa till att utbilda individer om nyanserna av ransomware och samtidigt tillhandahålla praktiska och handlingsbara politiska åtgärder.
RTF, sammanförd av Institutet för säkerhet och teknologi (IST), inkluderar representation från stora teknikföretag som Microsoft och Amazon; cybersäkerhetsorganisationer som Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber Threat Alliance och Global Cyber Alliance; och statliga organisationer som UK National Cyber Security Center (NCSC) och US Cybersecurity and Infrastructure Security Agency (CISA).
JBS & CNA: JBS, en av de största köttbearbetarna i USA, blev nyligen en av nästa högprofilerade ransomware-incidenter efter Colonial Pipeline. Attacken hade omfattande effekter, eftersom JBS verksamhet i Australien, Kanada och USA alla enligt uppgift påverkades.[12] I slutändan betalade JBS en lösensumma på cirka 11 miljoner dollar i syfte att säkerställa att förövarna inte stal företagsdata.[13]
Men den betalningen bleknar i jämförelse med de nästan 40 miljoner dollar som försäkringsorganisationen CNA Financial Corp. enligt uppgift betalade ut för att "återta kontrollen över sitt nätverk efter en ransomware-attack."[14] Även om attacken verkar ha inträffat i mars, blev detaljerna om lösensumman offentliga först i slutet av maj.
Congress Voices ogillande: I en kongressutfrågning förra veckan höll lagstiftare flera gånger i kontakt med Colonial Pipelines VD Joseph Blunt om hur de reagerade på deras ransomware-incident. Vissa lagstiftare hävdade att frivilliga cybersäkerhetsgranskningar av Transportation Security Administration vägrades av Colonial Pipeline, med rep. Bonnie Watson Coleman (D) som sa: "Att försena dessa bedömningar så länge är lika med att avslå dem, sir."[15] Andra tog strid med rörledningens beslut att inte omedelbart kontakta DHS och CISA eller acceptera deras hjälp vid återhämtningsoperationer.[16] Några kongressledamöter gick så långt som att ifrågasätta om frivilliga cybersäkerhetsstandarder och en "hands-off"-strategi för kritisk infrastruktur fortfarande var hållbara.[17]
Handling & Analys
**Kräver medlemskap**
Kongressen -
Tisdag, juni 15th:
– Inga relevanta utfrågningar
Onsdag, juni 16th:
– Senaten – Utskottet för inrikessäkerhet och regeringsfrågor: Affärsmöte för att överväga nomineringarna av Jen Easterly, till direktör för Cybersecurity and Infrastructure Security Agency, Department of Homeland Security, och Chris Inglis, som National Cyber Director.
-Representanthuset – Kommittén för inrikessäkerhet: Cyberhot i pipelinen: Lärdomar från det federala svaret på den koloniala pipelinen Ransomware Attack
Torsdag 17 juni:
– Inga relevanta utfrågningar
Internationell Utfrågningar/möten -
– Inga relevanta möten
EU -
Konferenser, webbseminarier och toppmöten –
Kontakta oss: följ @HealthISAC och maila till contact@h-isac.org
[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/
[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html
[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj
[6] https://www.cybercom.mil/About/Mission-and-Vision/
[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf
[11] https://securityandtechnology.org/ransomwaretaskforce/
[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack
[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
- Relaterade resurser och nyheter