Hoppa till huvudinnehåll

Inläggsämne: Hotinformation

Hälsa-ISAC Hälsosektorns hjärtslag – Q3 2025

Skriven av Julia Annaloro on . Publicerad i Resurser och nyheter, Hotinformation, Okategoriserad, Vita Papers.

Health-ISAC Heartbeat tillhandahåller observationer av ransomware, trender inom cyberbrottslighet och foruminlägg från skadliga aktörer som potentiellt kan påverka hälso- och sjukvårdsorganisationer. Denna produkt är avsedd för situationsmedvetenhet.

ämnen:

  • Ransomware-attacker inom hälsosektorn
  • Analys av globala händelser
  • Riktade varningstrender
  • Aktivitet på underjordiska forum
  • Profiler av hotaktörer och begränsningsåtgärder
  • Ytterligare rekommendationer

 

 

Sektorövergripande begränsningar: Spridda spindeln

Skriven av Julia Annaloro on . Publicerad i Särskilda uppdateringar, Hotinformation.

Vägledning för proaktivt försvar

Producerad av Financial Services ISAC, Informationsteknologi ISAC, Livsmedel och jordbruk ISAC, Hälsa ISAC, Flyg ISAC, Fordon ISAC, Detaljhandel och hotell- och restaurangbranschen ISAC, Sjöfartssystemet ISAC, El ISAC och National Council of ISACs, med bidrag från privata partners inom kommunikations-ISAC.

Download

Textversion:

Analys av hot mot spridd spindel

Beskrivning

Medlemmar i National Council of ISACs (NCI) bedömer med hög säkerhet att hotbildsgruppen Scattered Spider utgör ett verkligt hot, och att dess förmåga att utnyttja mänskliga sårbarheter genom social ingenjörskonst gör gruppen till en betydande risk för organisationer.

Denna analys beskriver Scattered Spiders aktivitet baserat på dess observerade handel över sektorer från och med maj 2025, och tillhandahåller:

🔹 Bakgrund om Scattered Spider så att företag bättre kan avgränsa sin hotyta

🔹 Tekniska procedurer och kulturella metoder för att motverka attacker från spridda spindlar

🔹 Analys av medlemmar i Information Sharing and Analysis Center (ISAC) och FBI-underrättelser samt motsvarande MITRE ATT&CK® mitigations

De rekommenderade åtgärderna har visat sig effektiva mot Scattered Spider och liknande hotaktörer, enligt expertbedömning av underrättelsetjänster. Åtgärderna inkluderar de grundläggande behoven hos FS-ISAC:s cybergrunder, anpassad till Scattered Spider TTP:er (taktik, tekniker och procedurer) baserat på kända hot.

Hotaktörer som Scattered Spider är dock ständigt innovativa, så organisationer måste vara noggranna med att kontinuerligt övervaka sina processer och identiteter för att leta efter nya exploateringar.

Dessa resultat har tagits fram i samarbete mellan ISAC:erna inom finanssektorn, informationsteknologi, livsmedel och jordbruk, hälsa, flyg, fordonsindustrin, detaljhandel och hotell- och restaurangbranschen samt sjötransportsystemet, och NCI. NCI omfattar 28 organisationer och är utformad för att maximera informationsflödet mellan kritisk infrastruktur inom den privata sektorn och myndigheter.

Bakgrund och TTP:er

Scattered Spider är en ekonomiskt – snarare än ideologiskt – motiverad grupp unga oberoende aktörer i Storbritannien, USA och Kanada. Enligt forskare är Scattered Spider en del av en större hackergemenskap som kallas The Community eller The Com, som organiseras via onlineplattformar, inklusive Discord- och Telegram-gruppchattar. Scattered Spider använder mycket effektiva sociala ingenjörskonsttekniker och stöld av autentiseringsuppgifter för att få tillgång till målnätverk, och tjänar sedan pengar på sina attacker genom datastöld, utpressning eller affiliate ransomware-operationer. Gruppen är känd för sin omfattande rekognoscering som identifierar personas att anta eller anställda att rikta in sig på. Mycket av Scattered Spiders framgång tillskrivs dess snabbhet och ansträngningsfria, anpassningsbara målgrupp.

*****

Sidebar:

Hotaktörerna deltar ofta i samtal och telefonkonferenser för att åtgärda incidenter och svara på dem, troligen för att identifiera hur säkerhetsteam jagar dem och proaktivt utveckla nya intrångsvägar som svar på offrens försvar. Detta uppnås ibland genom att skapa nya identiteter i miljön och upprätthålls ofta med falska profiler på sociala medier för att backa upp nyskapade identiteter. Cybersäkerhetsmeddelande: Spridd spindel – en gemensam rådgivning från Federal Bureau of Investigation (FBI) och Cybersecurity and Infrastructure Security Agency (CISA)

*****

Scattered Spider, som var aktivt sedan början av 2022, observerades initialt som inriktat på telekommunikations- och outsourcing av affärsprocesser (BPO), troligen som en språngbräda för social ingenjörskonst för att få obehörig åtkomst till andra måltavlor och deras intressenter. Sedan dess har gruppen kopplats till över 100 attacker inom flera marknadsvertikaler, men tenderar att rikta in sig på en sektor i taget. Scattered Spider är ökänt för intrånget 2023 mellan Caesars Entertainment och MGM Resorts och attacken mot Twilio 2022, vilket resulterade i en leveranskedjeattack som påverkade meddelandeappen Signal. Den riktade sig mot amerikanska och brittiska återförsäljare i april och maj 2025, och flyttade sedan sitt fokus till finanssektorn, särskilt försäkringsbolag, och flygsektorn.

  1. Ursprunglig åtkomst erhållen via:

    >Social engineering-attacker

    >MFA-utmattningsattacker

  2. Samlar in administratörsbehörigheter genom att:

    • Autentiseringsdumpning
    • Lagrade inloggningsuppgifter och hemligheter

 

3. Persistens erhållen genom:

>Schemalagda uppgifter

>Skadliga tjänster

>Skapande av lokal användare

>Mekanismer för molnpersistens

 

4. Försvarsundvikande möjliggjort av:

>Avaktivera AV/EDR

>Ändra Windows GPO:er

>Inaktivera Defender, loggning eller telemetri

>Ta bort EDR-drivrutiner

5. Sidoförflyttning via:

>PsExec

>PowerShell-fjärrstyrning

>WMI

>Legitima VPN- eller Citrix-anslutningar

 

En typisk taktik är att övertala IT-helpdesk-agenter att utföra självbetjäningsåterställningar av lösenord (SSPR) för utvalda konton. Scattered Spiders tekniker inkluderar användning av SMS-meddelanden (short message service) — dvs. sms:ande — och röstnätfiske (smishing och vishing) för att samla in autentiseringsuppgifter för instrumentpaneler för enkel inloggning (SSO), Microsoft Office 365/Azure, VPN och edge-enheter.

Gruppen är också känd för att kapa multifaktorautentisering (MFA) via SIM-kortsbyte (Subscriber Identity Module). Sedan omintetgör den MFA genom att bli aviseringstrött eller övertyga helpdesk-agenter att återställa MFA-metoden för utvalda konton.

Efter att ha komprometterat ett användares konto registrerar Scattered Spider-agenter andra enheter under kontot. När den kan få administratörsbehörighet skapar den angriparkontrollerade konton i offrets miljö. Sedan etablerar hotaktören persistens för obehörig åtkomst till offrets miljö och bygger in redundans för att förhindra försök att ta bort skadlig kod eller åtkomst.

Efterföljande rekognoseringsaktiviteter inkluderar försök att upptäcka företagsplattformar – inklusive Windows, Linux, Google Workspace, Microsoft Entra ID (tidigare Azure Active Directory), Microsoft 365, AWS och andra verktyg som finns i molninfrastrukturen – och att i sidled ladda ner lämpliga verktyg för att extrahera känslig data.

*****

Sidebar:

Health-ISAC har mottagit underrättelser som kopplar Amadey-botnätet till Scattered Spider-attacker. Amadey-botnätet har använts av ransomware-aktörer som BlackSuit, BlackBasta och Akira för att ladda ner skadlig kod i offrens nätverk. Botnätet har kringgått brottsbekämpande åtgärder mot malware-as-a-service (MaaS)-plattformar, vilket har gjort det möjligt för det att utvecklas sedan 2018.

*****

Denna djupa förståelse av offrets inbyggda infrastruktur gör det möjligt för Scattered Spider att utföra oönskade efterföljande aktiviteter. Det är genom denna djupa förståelse – t.ex. dess förmåga att utföra levnadstekniker – som gruppen kan kringgå standarddetekteringsmetoder. Hotgruppen kan också distribuera skadlig kod som släpper skadliga signerade drivrutiner som är utformade för att avsluta processer associerade med säkerhetsprogram och radera filer.

Scattered Spider använder nyligen registrerade och mycket övertygande phishing-domännamn som imiterar legitima inloggningsportaler, särskilt Okta-autentiseringssidor. Dessa domäner har en kort livslängd eller drifttid, vilket gör upptäckt svår.

Sedan 2023 har Scattered Spider observerats med hjälp av fem olika nätfiskepaket, i takt med att gruppens distributionsstrategier har utvecklats till att inkludera dynamiska DNS-leverantörer. Dessutom har gruppen inkluderat fjärråtkomsttrojanen Spectre (RAT) i sin attackkedja för att distribuera skadlig kod på komprometterade system för att få permanent åtkomst. Denna skadliga kod inkluderar mekanismer för fjärravinstallation och förmedling av anslutningar till ytterligare kommando- och kontrollservrar (C2), vilket tyder på att gruppen kan använda C2-infrastruktur för att utföra åtgärder efter utnyttjandet på offrets nätverk.

*****

Sidebar:

Kända domännamn som används av Scattered Spider

  • målnamn-sso[.]com
  • targetsname-servicedesk[.]com
  • målnamn-okta[.]com
  • målnamn-cms[.]com
  • targetsname-helpdesk[.]com
  • oktalogin-targetcompany[.]com

Spridd spindel Rådgivning om cybersäkerhet framtagen gemensamt av FBI, CISA, Royal Canadian Mounted Police, Australian Signals Directorate's Australian Cyber Security Centre, Australian Federal Police, Canadian Centre for Cyber Security och Storbritanniens National Cyber Security Centre

*****

Rekommendationer

Följande rekommendationer har visat sig effektiva för ISAC-medlemmar. Många är hämtade från FS-ISAC:s cybergrunder, en riskbaserad, djupförsvarsbaserad strategi för grundläggande cybersäkerhetsbehov som är tillämpliga för organisationer på alla nivåer av cybermognad.

Använd en flerkanalig verifieringsprocess — Ingen organisation bör förlita sig på en enda kommunikationskanal för anställdas lösenordsändringar eller återställning av MFA. Vissa företag kan dra nytta av att använda en förutbestämd lista med frågor som bara den anställde kan besvara för att initiera återställningar av lösenord och MFA. Och IT-anställda bör alltid känna sig befogade att bestrida andra anställdas verifieringsförfrågningar.

Åtgärdssteg:

  • IT-avdelningen bör använda flerkanalig verifiering, inklusive:
  • Verifiering av förfrågningar gjorda via e-post, sms eller telefon med återuppringning på ett förregistrerat och känt fungerande telefonnummer
  • Statiska PIN-koder på en fysisk bricka
  • Visuell validering
  • Använd ett röstlösenord som bara är känt för anställda, eller en uppsättning svar på frågor som inte är lätta att gissa, t.ex. "Vad är din mors flicknamn? Vilket var ditt anställningsdatum? Vad är inventariebeteckningen på din arbetsdator?"

Kräv att två anställda godkänner vissa typer av förfrågningar – till exempel stora finansiella överföringar – eller förfrågningar från anställda med höga privilegier.

  • Kontakta medarbetarens chef när medarbetaren begär en återställning av både inloggningsuppgifter och MFA.
  • Främja en kultur där IT-personal förväntas och har befogenhet att ifrågasätta alla ovanliga eller mycket känsliga förfrågningar, även från chefer, utan rädsla för konsekvenser.

 

Fokus på social ingenjörskonst — Scattered Spider förlitar sig på social ingenjörskonst och är mycket kreativ i sin användning av nätfiske, vishing och smishing. Hotgruppen ingjuter ofta en känsla av brådska i sina lockbete och utnyttjar offrens rädsla, empati och respekt för auktoritet. Inkludera dessa TTP:er i simuleringar och testa anställdas reaktioner på dem.

Åtgärdssteg:
  • Implementera kontinuerlig, obligatorisk utbildning i säkerhetsmedvetenhet och nätfiskesimuleringar med vanliga och aktuella lockbete.
  • Anpassa utbildningen till rollen – IT-helpdesk, kundtjänstrepresentanter, HR-personal och chefer på ledningsnivå kan behöva mer detaljerad och specifik utbildning om hotaktörers taktik och aktuella kampanjer.
  • Utbilda kundtjänstrepresentanter i helpdeskprocedurer. Till exempel, förstärk att deras helpdesk aldrig kommer att be en anställd att installera programvara för fjärrhjälp eller kringgå någon säkerhetskontroll.
  • Använd lägsta möjliga behörighet så att anställda, särskilt kundtjänstrepresentanter, kräver ytterligare verifiering från slutanvändaren innan de ger större åtkomst.

 

Granska administratörers profiler på sociala medier, särskilt molnadministratörers Administratörers profiler och inlägg på sociala medier kan oavsiktligt visa arbetsrelaterad information – t.ex. ansvarsområden, arbetshistorik, kollegor, dagliga rutin – som hotaktörer använder för att skräddarsy attacker (t.ex. utnyttja resplaner för att etablera trovärdighet eller brådska i en "vishing"-kampanj). Molnadministratörer är särskilda måltavlor. Att erhålla deras åtkomstbehörigheter skulle ge hotaktörer tillgång till och kontroll över värdefulla molnresurser och möjligheten att orsaka omfattande skada. Företag bör införa policyer för sociala medier som beskriver den information som hotaktörer utnyttjar och förbjuder sådan information i inlägg på sociala medier. Granska regelbundet administratörers sociala medier – särskilt molnadministratörers inlägg – för att se om de är i linje med policyn för sociala medier.

Åtgärdssteg:
  • Utveckla och tillämpa detaljerade, åtkomstspecifika policyer för sociala medier som förklarar vilka typer av information som är – och inte – tillåtna att publicera.
  • Genomför revisioner för att säkerställa efterlevnad.
  • Ge utbildning om riskerna med att dela känsliga professionella uppgifter.

 

Bedöm åtkomsträttigheter för helpdesk - Helpdesk-rättigheter kan ändras med tiden, vilket ibland ger behörighet till alla administratörskonsoler, såsom e-postflöde, säkerhetskontroller etc. Granskning av helpdesk-åtkomsträttigheter säkerställer anpassning till operativa behov, samtidigt som obehörig åtkomst som kan utnyttjas av hotaktörer som Scattered Spider förhindras. Automatiserade hanteringssystem förbättrar tillsynen.

Åtgärdssteg:
  • Implementera automatiserade system för kontinuerlig övervakning och justering av åtkomsträttigheter.
  • Schemalägg regelbundna åtkomstgranskningar för att säkerställa överensstämmelse med arbetsuppgifterna.

Övervaka virtuella maskiner i molnmiljöer – Implementera övervakningsverktyg för att ge varningar om obehörig aktivitet på virtuella maskiner (VM), såsom misstänkta tjänster, onormal resursanvändning och försök till privilegiumsupptrappning, med protokoll för att snabbt isolera och stänga av misstänkta virtuella maskiner. Denna snabba responskapacitet är avgörande för att identifiera misstänkt aktivitet, förhindra potentiella intrång och mildra hot.

Åtgärdssteg:
  • Utveckla en lista över tillåtna aktiviteter.
  • Implementera övervaknings- och varningssystem och leta efter luckor i dem.
  • Upprätta protokoll för snabba insatser för obehöriga aktiviteter.
  • Eliminera onödiga RMM-verktyg och integrera honeytokens runt användningen av RMM-verktyg för tidig upptäckt och fingeravtrycksdefinition.
  • Konfigurera webbläsare och uppgifter så att de regelbundet tar bort permanenta cookies.
  • Minimera hur länge en webbkaka är giltig — Scattered Spider använder dem för att etablera permanent åtkomst och dataexfiltrering.

 

Granska säkerhetskontroller för virtuell skrivbordsinfrastruktur - Säkerställ att VDI-miljöer (virtual desktop infrastructure) är säkrade med MFA och övervaka kontinuerligt användaraktiviteter.

Åtgärdssteg:
  • Granska listan över VDI-användare för att säkerställa att den är uppdaterad.
  • Tillämpa MFA.
  • Tillåt inte att personliga enheter har direkt åtkomst till Office 365, Enterprise Google Workspace, företags-VPN:er etc.
  • Kräv nätfiskeresistent MFA, såsom YubiKeys, Windows Hello for Business etc. Lita inte på att användare godkänner MFA-förfrågningar eller ger ut koder.
  • Om en organisation har VDI för att tillåta åtkomst från tredje part, se till att dessa VDI:er inte kan komma åt Secure Shells (SSH) eller Remote Desk Protocols (RDP), eller nå webbplatser som inte är nödvändiga för att användaren ska kunna utföra sitt jobb.
  • Genomför regelbundna granskningar och realtidsövervakning av alla användarsessioner.
  • Bekräfta att det inte finns några MFA via SMS i några applikationer, inklusive leverantörsapplikationer. SMS-baserad MFA kan medföra betydande risker eftersom:
      • SMS-meddelanden kan avlyssnas eftersom de är okrypterade
      • Angripare kan kringgå MFA genom social ingenjörskonst
      • Hotaktörer kan få kontroll över ett telefonnummer, avlyssna SMS-meddelanden och få obehörig åtkomst via SIM-kortsbyte
      • Avbrott kan hindra användare från att ta emot autentiseringskoder

 

Identifiera åtkomstpunkter och blockera högriskåtkomst – Många organisationer måste ge anställda, tillsynsmyndigheter, tredjepartsleverantörer och andra tillgång till sina digitala infrastrukturer. Skydda alla ingångspunkter – särskilt de med hög risk – med kontroller eller blockeringar, och anta att alla leverantörer av hanterade tjänster är komprometterade.

Åtgärdssteg:
  • Ge inte någon tredje part obegränsad åtkomst till ett företagsnätverk.
  • Ersätt plats-till-plats-VPN:er med VDI:er med hjälp av nätfiskeresistent MFA och noll förtroende där det är möjligt.
  • Identifiera och blockera nyskapade domäner som verkar vara potentiella nätfiskewebbplatser (t.ex. typosquatting-domännamn).
  • Blockera alla RAT-körbara filer från att köras på hanterade enheter.
  • Blockera webbplatserna för alla kända kommersiella fjärrhjälpsverktyg.
  • Implementera geografisk blockering där det är möjligt.
  • Blockera kommersiella VPN-tjänster som ansluter till företagets VPN eller VDI med en tjänst som ip2proxy eller Spur.
  • Blockera enhetstyper på VPN om de inte används av kundtjänstrepresentanter. (Motståndare har ofta använt Android-enheter x86.)

 

Revisionstillstånd beviljade till HR - Att strikt anpassa HR-behörigheter till operativa behov skyddar känsliga medarbetar- och ekonomiska uppgifter.

Åtgärdssteg:
  • Genomför en omfattande granskning av HR-åtkomstbehörigheter.
  • Granska leverantörs- och leverantörsåtkomsträttigheter.
  • Utbilda HR-personal om cybersäkerhetsrisker och korrekt datahantering.

 

Verktyg för förflyttning av forskningsdata i SaaS-applikationer - Att övervaka och spåra dataförflyttningar inom SaaS-system (Software-as-a-Service) (t.ex. Salesforce eller ServiceNow) är avgörande eftersom SaaS-applikationer ofta har (tredjeparts) dataförflyttningsverktyg tillgängliga för olika ändamål och kan innehålla känslig information.

Åtgärdssteg:
  • Integrera övervakning av dataförflyttningsverktyg i loggdata.
  • Konfigurera automatiska varningar och kontroller för ovanlig dataaktivitet.

 

Granska betrodda IP-adresser som är undantagna från MFA - Organisationer kan minska kraven på MFA (Multimediate Facilities Area - MFA) gällande förfrågningar från ett betrott nätverk, såsom ett VPN, kontorsnätverk etc. Att minimera dessa MFA-undantag stärker nätverksåtkomstkontrollerna, ett viktigt steg för att säkra finansiella och känsliga uppgifter.

Åtgärdssteg:
  • Omvärdera och uppdatera listan över betrodda IP-adresser i miljön.
  • Ersätt statisk IP-vitlistning med dynamiska principer för villkorlig åtkomst.

 

Erkänn det insiderhot som kundtjänstrepresentanter utgör — Scattered Spider får ofta initial åtkomst till affärssystem genom att lura kundtjänstrepresentanter – men rekryterar även dem. Sök regelbundet efter potentiellt skadlig aktivitet.

Åtgärdssteg:
  • Kontrollera kundtjänstrepresentanternas aktivitet för tecken på potentiell kompromettering, såsom:
    • Ett stort antal lösenordsåterställningar eller kontovisningar på kort tid
    • Åtkomst till kundkonton utan matchningsverifieringssteg (t.ex. ange kundens PIN-kod, matcha mot ANI etc.)
    • "Jungling med autentiseringsuppgifter", dvs. logga in på VPN med andra autentiseringsuppgifter än de som används för att komma åt CSR-verktyg
  • Sök i chatt-/e-postsupportloggar efter rekryteringsförsök med hjälp av strängsökningar som refererar till vanliga termer som används i erbjudanden, till exempel ”Telegram”, ”Wickr” eller ”Bli rik”.
  • Implementera tidsbegränsad åtkomst för kundtjänstrepresentanter för inloggningsuppgifter och VPN, och varna för alla inloggningar utanför agenternas normala arbetstid.

 

Spridda spindeltaktik och begränsningar

Följande tabell innehåller ISAC:s cybersäkerhetsexperters analys av underrättelser som delats av tusentals medlemsorganisationer. Många av taktikerna upptäcktes av FBI under utredningarna av Scattered Spider, vilka beskrivs i den gemensamma CISA och FBI:s cybersäkerhetsrådgivning Scattered SpiderMITRE ATT&CK-reduceringarna är hämtade från dess analys av TTP:er, baserat på organisationens verkliga observationer.

SE I PDF-FILEN OVAN.

 

 

Hälso-ISAC 2025 Cyberhotlandskapet för hälsosektorn – nu på portugisiska

Skriven av Julia Annaloro on . Publicerad i I nyheterna, Särskilda uppdateringar, Hotinformation, Vita Papers.

Uppdaterad 30 maj 2025.

EN tradução em português deste relatório foi adicionada abaixo.
(En portugisisk översättning av denna rapport har lagts till nedan)

 

Årlig hotrapport – 2025

2024 var ett utmanande år inom cybersäkerhet för system inom hälsosektorn runt om i världen.

Health-ISAC 2025 Health Sector Cyber ​​Threat Landscape belyser en fortsatt eskalering av cyberattacker. Nyckelfynd inkluderar en ökning av ransomware-attacker, med allt mer sofistikerade tekniker som används av hotaktörer.

Rapporten betonar också det växande hotet från nationalstatsaktörer och cyberspionage, inriktat på känslig patientdata och immateriella rättigheter. Dessutom har uppkomsten av Internet of Medical Things (IoMT)-enheter introducerat nya sårbarheter, medan det föränderliga hotbilden kräver kontinuerlig anpassning av säkerhetsåtgärder för organisationer inom hälsosektorn globalt.

Inkluderar följande, plus viktiga insikter hämtade från enkätdata:
  • De fem bästa cyberhoten som organisationer inom hälsosektorn stod inför 2024
  • De fem bästa cyberhoten som hälsosektororganisationer tittar på under 2025
  • Topp tre utmaningar Tillverkare av medicinska apparater rapporterade att de utvecklade säkra medicinska apparater
  • De tre bästa effekterna på sjukvårdsorganisationer

Hälsa ISAC 2025 årliga hotrapport
Storlek: 7.1 MB format: PDF

Relatório Anual de Ameaças – 2025

2024 foi um ano desafiador em termos de segurança cibernética para sistemas do setor de saúde em todo o mundo.

anorama de Ameaças Cibernéticas OP do Setor de Saúde do Health-ISAC 2025 destaca uma escalada contínua de ataques cibernéticos. Som principais slutsatser inkluderar ett aumento nos ataques de ransomware, com técnicas cada vez mais sofisticadas empregadas por agentes de ameaças.

O relatório também enfatiza a crescente ameaça de agentes estatais-nação e da ciberespionagem, visando e da ciberespionagem, visando dados sensíveis de pacientes e propriedade intellektuell. Além disso, o surgimento de dispositivos de Internet das Coisas Médicas (IoMT) introduziu novas vulnerabilidades, enquanto o cenário de ameaças em evolução exige en adaptação contínua de medidas de segurança para organizadoções do setor de setor em setor.

Inkludera o seguinte, alla viktiga insikter extraídos dos dados da pesquisa:

  • As cinco principais ameaças cibernéticas enfrentadas pelas organizações do setor da saúde em 2024
  • As cinco principais ameaças cibernéticas que as organizações do setor da saúde estão enfrentando em 2025
  • Os três principais desafios relatados pelos fabricantes de dispositivos médicos no desenvolvimento de dispositivos médicos seguros
  • Os três principais impactos nas organizações de prestação de serviços de saúde

 

Hälsa ISAC Setor De Saúde 2025 Panorama De Ameaças Cibernéticas
Storlek: 2.6 MB format: PDF

DeepSeeks säkerhetsrisk är en kritisk påminnelse för CIO:er

Skriven av Julia Annaloro on . Publicerad i Hälsa-ISAC, I nyheterna.

Uppdaterad 31 januari 2025, 12:12 EST
 

Den här artikeln i Forbes täcker följande ämnen:

  • Kritiska säkerhetsbrister i DeepSeeks system
  • Undervisa och övervaka
  • CIO kontrakt sign-off
  • Practice Breach Response

Pulled Health-ISAC-citat:

Snabb respons är särskilt viktig när man hanterar intrång som involverar teknologi som inte stöds. Den nyligen föreslagna HIPAA regeln kräver att sjukvårdsorganisationer återställer systemen inom 72 timmar. Errol Weiss, chefssäkerhetschef på Hälsa-ISAC, sa att dessa tre områden nedan är viktiga.

  • Hastigheten är avgörande: Ju snabbare du reagerar på en cyberincident, desto mindre skada kan angriparen orsaka.
  • Följ din incidentresponsplan: Om du har en fördefinierad incidentresponsplan, följ den noga.
  • Sök experthjälp: Om du saknar intern expertis, överväg att anlita externa cybersäkerhetsexperter.

Läs artikeln i Forbes. Klicka här

Hotbulletin: SimpleHelp RMM-programvara utnyttjas i exploatering Försök att bryta nätverk

Skriven av Julia Annaloro on . Publicerad i Hälsa-ISAC, Resurser och nyheter, Hotinformation.

TLP WHITE –

Uppdatering 30 januari 2025

Health-ISAC har i samarbete med AHA identifierat försök till och pågående ransomware-attacker potentiellt på grund av SimpleHelp fjärrövervakning och hantering (RMM) programvara sårbarheter. Baserat på det potentiella hotet och påverkan på patientvården, arbetade AHA med Health-ISAC för att säkerställa att denna bulletin distribueras brett till hälsosektorn.  
 
Det rekommenderas starkt att alla instanser av SimpleHelp-applikationen, särskilt inom hälso- och sjukvårdsorganisationer, identifieras och att lämpliga plåster appliceras enligt bulletinens vägledning. Det rekommenderas också starkt att hälsovårdsorganisationer ser till att alla tredjeparts- och affärspartners som använder SimpleHelp också applicerar lämpliga plåster.

Januari 29, 2025

Senaste rapportera indikerar att hotaktörer utnyttjar korrigerade sårbarheter i SimpleHelp Remote Monitoring and Management (RMM) programvara för att få obehörig åtkomst till privata nätverk. Dessa sårbarheter spårade som CVE-2024-57726, CVE-2024-57727 och CVE-2024-57728, upptäcktes av Horizon3-forskare i slutet av december 2024 och avslöjades för SimpleHelp den 6 januari, vilket fick företaget att släppa patchar. Bristerna var offentligt beskrives efter att patcharna släpptes den 13 januari 2025.

Den här kampanjen understryker vikten av patchhantering, eftersom hotaktörer använder utnyttjande inom en vecka efter offentliggörandet. 

Sårbarheterna som identifierats i SimpleHelp RMM kan tillåta angripare att manipulera filer och eskalera privilegier till administratörer. En hotaktör kan kedja dessa sårbarheter i en attack för att få administrativ åtkomst till den sårbara servern och sedan använda den åtkomsten för att äventyra enheten som kör sårbar SimpleHelp-klientprogramvara. 

TLPWHITE Cb3ee67f Simplehelp Rmm-programvara som utnyttjas i exploateringsförsök att bryta nätverk
Storlek: 139.4 kB format: PDF

 

Potentiella hot mot vårdchefer cirkulerar online

Skriven av Julia Annaloro on . Publicerad i Hälsa-ISAC, I nyheterna.

 

Efter den tragiska skottlossningen av UnitedHealthcares vd i New York City den 4 december, utfärdade Health-ISAC en varning till medlemmarna den 9 december och identifierade elva försiktighetsåtgärder som hälsoorganisationer borde vidta.

Health-ISAC har fått rapporter om flera inlägg online som hotar chefer inom hälsosektorn. Forum har identifierats som en källa till hot mot vd:ar inom hälso- och sjukvårdsbranschen, särskilt de ledande stora sjukförsäkringsbolagen och läkemedelsföretagen. Health-ISAC har gett ut en hotbulletin för att informera den globala hälsosektorn om vad man bör vara medveten om och rekommendera åtgärder för att minska risken för organisationer att vidta omedelbart. Läs gärna och dela inom hälsosektorn.

TLPWHITE Da2c7f6d Potentiella hot mot vårdchefer cirkulerar på nätet
Storlek: 3.6 MB format: PDF

 

Dessa hot, som sträcker sig från allmän skrämsel till specifika uppmaningar till våld, har dykt upp i kölvattnet av mordet på en UnitedHealthcare VD nyligen. Det är viktigt att notera att gärningsmannen till det senaste mordet ännu inte har gripits, och utredningen av de möjliga motiven pågår fortfarande.

Även om dessa cirkulerande hot inte har verifierats, rekommenderar Health-ISAC ökad säkerhetsmedvetenhet bland vårdchefer och strängare säkerhetsåtgärder för att garantera säkerheten. 

Uppmaningar om våld kan sträcka sig till cyberdomänen, vilket leder till att hacktivister utför DDoS och andra störande attacker mot hälsosektorn. Health-ISAC rekommenderar att medlemmar förblir vaksamma när det gäller att skydda all infrastruktur och att organisationer delar med sig av alla detaljer de kan om hot mot chefer så att vi kan hålla samhället informerat.

Att samla in cybersårbarhetsstatistik är avgörande

Skriven av Julia Annaloro on . Publicerad i I nyheterna.

Att samla in cybersårbarhetsstatistik är avgörande, men att kommunicera dem till intressenter på ett tydligt och övertygande sätt är nyckeln, säger H-ISAC-rapporten

När sjukvårdsindustrin blir mer beroende av sammankopplade digitala system har vikten av robust sårbarhetshantering aldrig varit mer uttalad. En nyligen rapport av Health-ISAC, Sårbarhetsstatistik och rapportering, kastar ljus över bästa praxis och strategier för att stärka cybersäkerhet i hälsosystem.

Läs hela artikeln på HealthSystemCIO.com Klicka här

 

Vägledning för CTI in a Box

Skriven av Julia Annaloro on . Publicerad i Hälsa-ISAC, Resurser och nyheter, Vita Papers.

Den här vitboken presenterar en analys av en undersökning som genomfördes bland Health-ISAC-medlemmar av arbetsgruppen för utveckling av programmet för Cyber ​​Threat Intelligence (CTI). Undersökningen syftade till att ge kritiska insikter om det aktuella läget för CTI-program inom hälsosektorn, och identifiera styrkor och möjligheter för tillväxt.

 

Syfte

Enkätresultaten var avgörande för att vägleda arbetsgruppens ansträngningar att prioritera högt värdefulla resultat och främja samarbete inom Health-ISAC-gemenskapen. Dessa fynd har informerat utvecklingen av praktiska resurser utformade för att stödja och främja CTI-initiativ.

Viktiga resultat

Tidningen utforskar 9-nyckelfynd från undersökningen, som direkt har påverkat skapandet av resurser och verktyg skräddarsydda för behoven hos Health-ISAC-medlemmar. Dessa resultat fungerar som grunden för en innovativ resurssvit med namnet CTI i en låda. Denna omfattande resurs organiserar viktiga verktyg, strategier och bästa praxis för att ge Health-ISAC-medlemmar möjlighet att stärka sina CTI-program. Medlemmar kan komma åt CTI i en låda genom Health-ISAC Threat Intelligence Portal (H-TIP).

 

Klicka här

Läs mer

Cyware lanserar Threat Intelligence Platform för att försvara sjukvårdsorganisationer från cyberhot

Skriven av Julia Annaloro on . Publicerad i Hälsa-ISAC, I nyheterna.

En branschanpassad plattform för hotunderrättelsetjänst för att försvara hälso- och sjukvårdsorganisationer från cyberhot

En specialbyggd lösning ger sjukvårdssäkerhetsteam med vårdspecifika hotflöden och automatiserade svarsfunktioner.

Media omnämner:

Errol Weiss, Chief Security Officer på Health-ISAC och Cyware-kund, uttryckte det kritiska behovet av denna innovation: "Hälsovård är en av de sektorer som cyberbrottslingar riktar mest mot. Att ha en plattform för hotintelligens som är designad specifikt för vår bransch kommer att tillåta hälsovårdsorganisationer att snabbt få tillgång till relevanta, handlingsbara insikter som kan göra en påtaglig skillnad när det gäller att försvara sig mot sofistikerade attacker.”

Rachel James, Health-ISAC Threat Intelligence Committee ledamot, noterade, "I en miljö där tiden är kritisk behöver sjukvårdssäkerhetsteam verktyg som gör att de kan göra mer med mindre ansträngning men med större noggrannhet. Cywares Healthcare Threat Intelligence Platform är utformad för att snabbt identifiera och reagera på vårdspecifika hot, vilket ger organisationer möjlighet att ligga steget före attacker utan att överväldigas av komplexitet."

Läs hela pressmeddelandet i BusinessWire:

Klicka här

Sårbarhetsstatistik och rapportering

Skriven av Julia Annaloro on . Publicerad i Hälsa-ISAC, Vita Papers.

En vitbok publicerad av Health-ISAC:s arbetsgrupp för sårbarhetshantering

I dagens ständigt pågående sammankopplade värld är sårbarhetshantering en grundläggande process för alla organisationer. Mätvärden och rapportering spelar en avgörande roll för att övervaka de tjänster vi tillhandahåller, implementera upptäcktsfunktioner och åtgärdande av applikations- eller teknikteam. Effektivt berättande med mätvärden och rapportering kan hjälpa till att visa upp förbättringar eller effektiviteten hos vår tekniska supportpersonal. Sårbarhetshanteringsgruppen bör ha ett poängsystem för att återspegla organisationens tidsplan för åtgärdande.

Sårbarhetsstatistik och rapportering (1)
Storlek: 2.3 MB format: PDF