H-ISAC แฮ็คระบบดูแลสุขภาพ 2-9-2021
TLP White : สัปดาห์นี้ การแฮ็คระบบดูแลสุขภาพ เริ่มต้นด้วยการพิจารณาแรนซัมแวร์อีกครั้ง โดยเฉพาะอย่างยิ่ง เราวิเคราะห์แนวโน้มที่เกิดขึ้นตลอดทั้งปีที่ผ่านมา ข้อมูลจากไตรมาสสุดท้ายของปี 2020 และสิ่งที่ข้อมูลเหล่านี้บอกเราเกี่ยวกับทิศทางของสิ่งต่างๆ และเหตุใดการที่แรนซัมแวร์กลายเป็นสิ่งที่สร้างผลกำไรให้กับอาชญากรไซเบอร์ได้น้อยลง อาจเป็นอันตรายต่อภาคส่วนการดูแลสุขภาพ เราสรุปโดยการวิเคราะห์ 'ภัยคุกคาม' ทางไซเบอร์ที่ไม่ใช่รูปแบบเดิมซึ่งอาจส่งผลเสียต่อการเปิดตัววัคซีน และเหตุใดจึงอาจไม่สามารถหาทางแก้ไขได้ง่ายนัก
ขอเตือนว่านี่คือเวอร์ชันสาธารณะของบล็อก Hacking Healthcare หากต้องการการวิเคราะห์และความคิดเห็นเชิงลึกเพิ่มเติม โปรดสมัครเป็นสมาชิกของ H-ISAC และรับบล็อกเวอร์ชัน TLP Amber (มีให้ในพอร์ทัลสมาชิก)
ยินดีต้อนรับกลับสู่ การแฮ็คระบบดูแลสุขภาพ.
1. บทวิจารณ์ Ransomware ปี 2020
ดูเหมือนว่าแรนซัมแวร์จะยังคงเป็นภัยร้ายแรงในปี 2021 แต่ข้อมูลที่เพิ่งเผยแพร่บางส่วนบ่งชี้ว่าวิธีการและกลวิธีที่พัฒนาขึ้นจะช่วยให้สถานการณ์ยังคงไม่แน่นอน รายงานล่าสุดหลายฉบับช่วยทำให้สามารถวิเคราะห์ปัญหาได้ในระดับหนึ่ง และผลกระทบมหาศาลที่แรนซัมแวร์มีต่อภาคส่วนการดูแลสุขภาพก็ไม่ใช่เรื่องน่าแปลกใจ ข้อมูลเหล่านี้ให้ข้อสรุปที่น่าสนใจหลายประการ รวมถึงข่าวที่น่ายินดีซึ่งบ่งชี้ว่าการโจมตีด้วยแรนซัมแวร์กำลังสร้างผลกำไรให้กับผู้ก่อเหตุน้อยลง อย่างไรก็ตาม ส่วนการวิเคราะห์ของเราจะสำรวจว่าเหตุใดการโจมตีดังกล่าวอาจไม่ส่งผลดีต่อภาคส่วนการดูแลสุขภาพ
ปะยางรถ
ก่อนอื่นมาสรุปกันอย่างรวดเร็วว่าสถานการณ์เป็นอย่างไรบ้าง ความท้าทายที่ภาคส่วนการดูแลสุขภาพต้องเผชิญนั้นมีมากมายมหาศาลในช่วงปีที่ผ่านมา และอาชญากรทางไซเบอร์ก็ไม่ได้ทำให้การรับมือกับ COVID-19 ง่ายขึ้นเลย VMware Carbon Black รายงานว่ามีความพยายามโจมตีทางไซเบอร์ 239.4 ล้านครั้งต่อลูกค้าด้านการดูแลสุขภาพของตนเองเพียงรายเดียวในปี 2020 ซึ่งส่งผลให้สถิติที่แทบไม่น่าเชื่อคือ "หน่วยงานด้านการดูแลสุขภาพเผชิญกับการโจมตี 816 ครั้งต่อจุดปลายทางในปีที่แล้ว ซึ่งเพิ่มขึ้นอย่างเหลือเชื่อถึง 9,851 เปอร์เซ็นต์จากปี 2019"[1] ข้อมูลนี้มาเพียงไม่กี่สัปดาห์หลังจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Emsisoft รายงานว่าสถานพยาบาลอย่างน้อย 560 แห่งได้รับผลกระทบจากแรนซัมแวร์ในปี 2020[2]
ที่น่าผิดหวังคือ Ransomware ที่โจมตีภาคส่วนการดูแลสุขภาพมากที่สุดคือ Cerber ซึ่งระบาดหนักในปี 2017 และลดลงอย่างมากในปี 2018 ก่อนที่จะกลับมาระบาดอีกครั้งในปีที่แล้ว และคิดเป็น 58% ของการโจมตีด้วย Ransomware ต่อลูกค้าภาคส่วนการดูแลสุขภาพของ VMware Carbon Black[3] แม้ว่า Carbon Black จะสังเกตว่า Cerber ได้รับการอัปเดตและปรับเปลี่ยนแล้ว แต่ความสำเร็จของตัวแปรบางตัวในปี 2020 นั้นแทบจะแน่นอนว่าเชื่อมโยงกับช่องโหว่ที่ไม่ได้รับการแก้ไข ซึ่งเน้นย้ำถึงความยากลำบากที่เพิ่มขึ้นในการรักษาความปลอดภัยทางไซเบอร์ในภาคการดูแลสุขภาพอีกครั้ง[4]
สัญญาณบวกที่อาจเกิดอันตราย
จบลงด้วยข่าวดีที่อาจเกิดขึ้น บริษัท Coveware ที่ตอบสนองต่อและกู้คืนแรนซัมแวร์ได้เปิดตัว รายงาน Ransomware รายไตรมาส สำหรับไตรมาสที่ 4 ของปี 2020 เมื่อวันจันทร์ที่ผ่านมา ข้อสรุปที่สำคัญที่สุดคือรายงานที่ระบุว่าการชำระเงินค่าไถ่จากแรนซัมแวร์ลดลงอย่างมาก เมื่อพิจารณาจากตัวเลขแล้ว การชำระเงินค่าไถ่จากแรนซัมแวร์โดยเฉลี่ยลดลงประมาณ 34% จากไตรมาสที่ 3 ของปี 2020 เหลือ 154,108 ดอลลาร์ จาก 233,817 ดอลลาร์[5] นอกจากนี้ ค่ามัธยฐานของการชำระเงินเรียกค่าไถ่ในไตรมาสที่ 4 ลดลงมากถึง 55% จาก 49,450 ดอลลาร์ เหลือ 110,532 ดอลลาร์[6]
ก่อนรายงานใหม่ล่าสุดนี้ Coveware เคยรายงานการเพิ่มขึ้นอย่างต่อเนื่องของการชำระเงินเรียกค่าไถ่โดยเฉลี่ยและมัธยฐานย้อนกลับไปจนถึงไตรมาสที่ 4 ปี 2018[7] Coveware ระบุว่าการลดลงเมื่อเร็วๆ นี้เป็นผลมาจากการที่ความเชื่อมั่นลดลง โดยผู้กระทำการเรียกค่าไถ่ที่ขโมยข้อมูลจะลบข้อมูลนั้นเมื่อได้รับค่าไถ่ ตัวอย่างมากมายของข้อมูลที่ถูก "ลบ" แล้วถูกนำไปขายต่อในตลาดมืด หรือถูกนำไปใช้เพื่อยึดองค์กรเพื่อเรียกค่าไถ่เป็นครั้งที่สอง ทำให้การคำนวณความเสี่ยงสำหรับเหยื่อของแรนซัมแวร์เปลี่ยนไป
แม้ว่ารายงานฉบับสมบูรณ์จะมีข้อมูลมากกว่านี้มาก แต่มีข้อสังเกตที่น่าสนใจสองสามข้อที่ดึงดูดความสนใจของเรา ประการแรก การฟิชชิ่งทางอีเมลยังคงเพิ่มขึ้นอย่างต่อเนื่องในฐานะเวกเตอร์การโจมตี โดยทำลายสถิติ 50% และแซงหน้าการโจมตี RDP ประการที่สอง การโจมตีด้วยแรนซัมแวร์ประมาณ 70% ในไตรมาสที่ 4 เกี่ยวข้องกับภัยคุกคามในการรั่วไหลข้อมูลที่ขโมยมา ซึ่งเพิ่มขึ้น 20 เปอร์เซ็นต์จากไตรมาสที่ 3[8] นอกจากนี้ Coveware ยังรายงานว่าผู้ไม่ประสงค์ดีถึงขั้น "สร้างข้อมูลปลอมขึ้นมาในกรณีที่ไม่ได้เกิดขึ้น" อย่างไรก็ตาม ข้อมูลที่น่าเป็นห่วงที่สุดก็คือรายงานของ Coveware ที่ว่า "อัตราการทำลายข้อมูลที่ไม่สามารถย้อนกลับได้เพิ่มขึ้น เมื่อเทียบกับการทำลายข้อมูลสำรองหรือการเข้ารหัสระบบสำคัญอย่างมีเป้าหมาย"[9]
การดำเนินการและการวิเคราะห์
**จำเป็นต้องเป็นสมาชิก**
2. การดูแลสุขภาพเผชิญกับ 'ภัยคุกคาม' ทางไซเบอร์ที่ไม่ใช่รูปแบบเดิมๆ
ในขณะที่ทีมงานด้านความปลอดภัยทางไซเบอร์และไอทีของภาคส่วนการดูแลสุขภาพกำลังเผชิญกับความท้าทายที่น่าหวั่นเกรงในการรักษาความเป็นส่วนตัวและความปลอดภัยของเครือข่ายและข้อมูลของตนเมื่อเผชิญกับภัยคุกคามรูปแบบเดิมๆ จากรัฐและไม่ใช่รัฐ แต่ก็อาจมีความท้าทายทางเทคนิครูปแบบอื่นๆ ที่ไม่ใช่รูปแบบเดิมๆ ที่ทักษะของพวกเขาอาจเป็นประโยชน์ได้
ในการเร่งฉีดวัคซีนให้กับประเทศต่างๆ องค์กรด้านการดูแลสุขภาพต้องเผชิญกับงานด้านการบริหารและการจัดการที่ไม่เคยเกิดขึ้นมาก่อนในการจัดเตรียมการนัดหมายสำหรับผู้ป่วย ขณะเดียวกันก็พยายามทำให้วัคซีนที่มีค่าสูญเสียไปน้อยที่สุดเท่าที่จะเป็นไปได้ เพื่อช่วยในความพยายามนี้ องค์กรต่างๆ จำนวนมากได้ใช้พอร์ทัลหรือเครื่องมือจัดตารางเวลาออนไลน์ในรูปแบบใดรูปแบบหนึ่ง กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริกา (HHS) ยังได้ออกประกาศการใช้ดุลยพินิจในการบังคับใช้กฎหมายสำหรับ แอปพลิเคชั่นการจัดตารางงานแบบออนไลน์หรือบนเว็บ.[10] น่าเสียดายที่ตัวกำหนดตารางงานเหล่านี้ได้กลายเป็นเหยื่อของการโจมตีแบบ 'บอท' ที่ถูกวางแผนโดยผู้เก็งกำไร
ตามรายงานของสำนักข่าว Reuters ผู้ค้าปลีกและร้านขายยาในสหรัฐฯ เช่น Walgreens และ CVS Health กำลังเตรียมรับมือกับการโจมตีแบบ “บอท” รอบใหม่จากบรรดาผู้ค้ากำไรที่หวังจะจองคิวฉีดวัคซีน COVID-19[11] แม้ว่าพฤติกรรมประเภทนี้จะคุ้นเคยกับผู้ที่พยายามซื้อสินค้าที่มีจำนวนจำกัด เช่น อุปกรณ์เทคโนโลยีใหม่ล่าสุดหรือบัตรเข้าชมงานกีฬา แต่ทั้งสองกรณีนี้จัดอยู่ในประเภทความรำคาญได้ง่ายกว่า และไม่สามารถพูดแบบเดียวกันได้หากพฤติกรรมดังกล่าวเริ่มส่งผลกระทบอย่างมีนัยสำคัญต่อการเปิดตัววัคซีน
ตามรายงานของสำนักข่าว Reuters ระบุว่า “ในช่วงไม่กี่สัปดาห์ที่ผ่านมา ผู้คนได้แชร์เรื่องราวสยองขวัญบนเครือข่ายโซเชียลมีเดียเกี่ยวกับการพยายามนัดหมายฉีดวัคซีนจากแหล่งของรัฐบาล โดยบางคนกล่าวหาว่าบ็อตเป็นสาเหตุที่ทำให้เว็บไซต์ล่มและมีการขโมยเวลาให้บริการ” ทั้ง Walgreens และ CVS ต่างก็ระบุว่าพวกเขาทราบถึงปัญหานี้และได้กำหนดมาตรการป้องกันหลายประการเพื่อตรวจจับและป้องกัน
การดำเนินการและการวิเคราะห์
**จำเป็นต้องเป็นสมาชิก**
คองเกรส -
วันอังคารกุมภาพันธ์ 9th:
– ไม่มีการพิจารณาคดีที่เกี่ยวข้อง
วันพุธ, กุมภาพันธ์ 10th:
– สภาผู้แทนราษฎร – คณะกรรมการพิจารณาคดีความมั่นคงแห่งมาตุภูมิ: ความปลอดภัยทางไซเบอร์ในประเทศ: การประเมินภัยคุกคามทางไซเบอร์และการสร้างความยืดหยุ่น
วันพฤหัสบดีที่ 11 กุมภาพันธ์:
– ไม่มีการพิจารณาคดีที่เกี่ยวข้อง
นานาชาติ การพิจารณาคดี/การประชุม -
– ไม่มีการพิจารณาคดีที่เกี่ยวข้อง
สหภาพยุโรป -
– ไม่มีการพิจารณาคดีที่เกี่ยวข้อง
ของเบ็ดเตล็ด –
การประชุมสัมมนาทางเว็บและการประชุมสุดยอด –
ติดต่อเรา: ติดตาม @HealthISAC และส่งอีเมลได้ที่ contact@h-isac.org
[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point
[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020
[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/
[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020
[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf
[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S
- แหล่งข้อมูลและข่าวสารที่เกี่ยวข้อง