การแฮ็กระบบสุขภาพ-ISAC 6-15-2021
TLP White : สัปดาห์นี้ การแฮ็คระบบดูแลสุขภาพ มุ่งมั่นที่จะรวบรวมและวิเคราะห์เหตุการณ์ที่เกิดขึ้นล่าสุดเกี่ยวกับแรนซัมแวร์ทั้งในภาครัฐและภาคเอกชน นอกเหนือจากการสรุปเหตุการณ์ที่เกิดขึ้นแล้ว เรายังกล่าวถึงแนวทางและคำแนะนำใหม่ๆ และแสดงความคิดเห็นของเราว่าเหตุการณ์เหล่านี้มีประโยชน์หรือไม่มีประโยชน์ในการแก้ไขปัญหาแรนซัมแวร์อย่างไร
ขอเตือนว่านี่คือเวอร์ชันสาธารณะของบล็อก Hacking Healthcare หากต้องการการวิเคราะห์และความคิดเห็นเชิงลึกเพิ่มเติม โปรดสมัครเป็นสมาชิกของ H-ISAC และรับบล็อกเวอร์ชัน TLP Amber (มีให้ในพอร์ทัลสมาชิก)
ยินดีต้อนรับกลับสู่ การแฮ็คระบบดูแลสุขภาพ.
1. บทนำ
Ransomware ไม่มีปัญหาในการรักษาจุดสนใจในขณะที่เหตุการณ์ที่เป็นข่าวโด่งดังยังคงเพิ่มขึ้นอย่างต่อเนื่องในช่วงไม่กี่สัปดาห์ที่ผ่านมา หน่วยงานของรัฐและองค์กรภาคเอกชนกำลังดิ้นรนเพื่อแก้ไขสถานการณ์ที่เลวร้ายมากขึ้นเรื่อยๆ และความเร็วของสถานการณ์โดยรวมที่เปลี่ยนแปลงไปอาจทำให้มองข้ามการพัฒนาที่สำคัญได้ง่าย ด้วยเหตุนี้ เราจึงอุทิศฉบับนี้ให้กับ การแฮ็คระบบดูแลสุขภาพ เพื่อตรวจสอบการพัฒนาแรนซัมแวร์ล่าสุด การประเมินผลกระทบต่อภาคเอกชน และเน้นคำแนะนำหลายประการที่สมาชิก H-ISAC อาจพบว่ามีคุณค่า
การตอบสนองของรัฐบาล
เราเริ่มต้นด้วยฝ่ายบริหารของไบเดน ฝ่ายบริหารได้ทำให้ความปลอดภัยทางไซเบอร์เป็นประเด็นสำคัญและพบว่ามีเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่สำคัญมากมายที่ต้องตอบสนอง แม้ว่าเหตุการณ์ดังกล่าวจะตรงกับเหตุการณ์โจมตีด้วยแรนซัมแวร์ Colonial Pipeline แต่คำสั่งผู้บริหารที่เกี่ยวข้องกับไซเบอร์ล่าสุดของรัฐบาลเกี่ยวกับการแทรกแซงของรัสเซีย ความท้าทายในห่วงโซ่อุปทาน และความปลอดภัยทางไซเบอร์นั้นได้รับการออกแบบมาโดยเฉพาะเพื่อตอบสนองต่อเหตุการณ์ก่อนหน้านี้ เช่น SolarWinds และไม่ได้เน้นที่ปัญหาของแรนซัมแวร์โดยตรง อย่างไรก็ตาม ในช่วงไม่กี่สัปดาห์ที่ผ่านมา ฝ่ายบริหารของไบเดนได้ดำเนินการหลายขั้นตอนเพื่อจัดการกับคลื่นของแรนซัมแวร์ที่ยังคงไม่หยุดยั้ง
กระทรวงยุติธรรม
กระทรวงยุติธรรม (DOJ) ได้มีบทบาทอย่างมากในพื้นที่นี้
หน่วยงาน Ransomware:ดังที่เราได้กล่าวถึงโดยย่อในฉบับก่อนหน้านี้ ได้มีการออกบันทึกภายในของกระทรวงยุติธรรมในช่วงปลายเดือนเมษายน ซึ่งประกาศการจัดตั้งหน่วยงานเฉพาะกิจด้านแรนซัมแวร์ บันทึกดังกล่าวระบุว่าแรนซัมแวร์ไม่เพียงแต่เป็นภัยคุกคามทางเศรษฐกิจที่เพิ่มมากขึ้นเท่านั้น แต่ยังเป็นภัยคุกคามต่อสุขภาพและความปลอดภัยของพลเมืองอเมริกันอีกด้วย[1] รายงานระบุว่าบันทึกนี้จะนำไปสู่การแบ่งปันข่าวกรองที่ดีขึ้นทั่วทั้งกระทรวงยุติธรรม การสร้างกลยุทธ์ที่กำหนดเป้าหมายทุกด้านของระบบนิเวศแรนซัมแวร์ และวิธีการเชิงรุกมากขึ้นโดยรวม[2]
การเพิ่มขึ้นของแรนซัมแวร์:กลยุทธ์และแนวทางดังกล่าวได้รับการเปิดเผยบางส่วนเมื่อต้นเดือนมิถุนายน เมื่อมีรายงานว่ามีการเผยแพร่คำแนะนำภายในของกระทรวงยุติธรรมเพิ่มเติม ซึ่งให้การสอบสวนการโจมตีด้วยแรนซัมแวร์มีลำดับความสำคัญเทียบเท่ากับการก่อการร้าย[3] การเคลื่อนไหวนี้จำเป็นต้องมีการประสานงานกรณีและการสอบสวนแรนซัมแวร์กับหน่วยงานเฉพาะกิจด้านแรนซัมแวร์ในวอชิงตัน ดีซี โดยตรง เพื่อให้มั่นใจว่าสามารถสร้างความเข้าใจและภาพรวมการปฏิบัติงานที่ดีที่สุดสำหรับผู้มีส่วนได้ส่วนเสียต่างๆ ที่เกี่ยวข้องกับเหตุการณ์แรนซัมแวร์ได้
การกู้คืนค่าไถ่เมื่อ Colonial Pipeline จ่ายค่าไถ่เป็น Bitcoin หลายคนคิดว่าผู้ก่อเหตุและเงินคงหายไปหมดแล้ว อย่างไรก็ตาม ปฏิบัติการที่นำโดย FBI สามารถยึด Bitcoin ที่จ่ายไปเป็นค่าไถ่ได้ 2.3 ล้านดอลลาร์[4] เอฟบีไอถูกกล่าวหาว่าติดตามการเคลื่อนไหวของเงินค่าไถ่บนสมุดบัญชี Bitcoin ที่เปิดเผยต่อสาธารณะ จากนั้นจึงเข้าถึงบัญชีเสมือนที่เป็นที่ที่เงินส่วนใหญ่ถูกขโมยไป[5]
ยูเอส ไซเบอร์คอม
นอกเหนือจากกระทรวงยุติธรรมแล้ว หน่วยบัญชาการไซเบอร์ของสหรัฐฯ (CYBERCOM) ซึ่งมีภารกิจในการ "กำกับดูแล ประสานงาน และประสานงานการวางแผนและการปฏิบัติการด้านไซเบอร์สเปซ เพื่อปกป้องและส่งเสริมผลประโยชน์ของชาติ ร่วมกับพันธมิตรในประเทศและต่างประเทศ" ยังมีบทบาทในการตอบสนองต่อภัยคุกคามจากแรนซัมแวร์อีกด้วย[6]
การได้ยิน:ในระหว่างการพิจารณาคดีทางเสมือนจริงเมื่อวันศุกร์ที่ผ่านมา พล.ท. นากาโซเนะ ซึ่งดำรงตำแหน่งทั้งหัวหน้า CYBERCOM และผู้อำนวยการ NSA ปฏิเสธที่จะกำหนดหน่วยงานใหม่เพื่อดำเนินการกับกลุ่มอาชญากรทางไซเบอร์[7] เขากล่าวว่าเขาคิดว่าเขามี "อำนาจทั้งหมดที่จำเป็นในการดำเนินคดีด้านข่าวกรองกับศัตรูเหล่านี้นอกสหรัฐอเมริกา"[8] อย่างไรก็ตาม เมื่อพูดถึงแรนซัมแวร์โดยเฉพาะ เขาก็ได้ถ่ายทอดว่าความท้าทายที่แท้จริง และเป็นสิ่งที่รัฐบาลของไบเดนกำลังเผชิญอยู่ ก็คือจะแบ่งปันและประสานงานข่าวกรองและการดำเนินการกับผู้มีส่วนได้ส่วนเสียต่างๆ ทั้งในภาคส่วนสาธารณะและเอกชน พร้อมทั้งกำหนดว่าใครเป็นผู้นำในการดำเนินการโดยรวม [9]
DHS
คำแนะนำ – CISA: ภัยคุกคามจากแรนซัมแวร์ที่เพิ่มขึ้นต่อทรัพย์สิน OT: ความสำคัญที่เพิ่มมากขึ้นของแรนซัมแวร์ยังส่งผลให้มีการเผยแพร่แนวทางเพิ่มเติมจากรัฐบาล ซึ่งรวมถึงเอกสารข้อเท็จจริงของ CISA ที่มีชื่อว่าภัยคุกคามจากแรนซัมแวร์ที่เพิ่มขึ้นต่อสินทรัพย์ทางเทคโนโลยีการปฏิบัติการ.[10] เอกสารสามหน้าให้ภาพรวมของภัยคุกคามจากแรนซัมแวร์ โดยเฉพาะต่อทรัพย์สิน OT จากนั้นจึงสรุปแนวทางการดำเนินการที่องค์กรควรดำเนินการเพื่อเตรียมพร้อม บรรเทาผลกระทบ และตอบสนองต่อแรนซัมแวร์
การพัฒนาภาคเอกชน
ในช่วงไม่กี่สัปดาห์ที่ผ่านมามีการพัฒนาแรนซัมแวร์ที่น่าสังเกตเกี่ยวกับภาคเอกชนเกิดขึ้นบ้าง แต่น่าเสียดายที่การพัฒนาดังกล่าวมีแนวโน้มจะส่งผลในทางลบมากกว่าเชิงบวก การโจมตีด้วยแรนซัมแวร์ที่โด่งดังยังคงส่งผลให้ต้องจ่ายค่าไถ่หลายล้านดอลลาร์ และรัฐสภาสหรัฐฯ ได้วิพากษ์วิจารณ์อย่างหนักถึงวิธีการตอบสนองต่อเหตุการณ์ดังกล่าวของภาคเอกชน
กองกำลังเฉพาะกิจแรนซัมแวร์ IST (RTF): RTF ซึ่งประกอบด้วยผู้เชี่ยวชาญประมาณ 60 คนจากทั้งภาครัฐและเอกชน ได้เผยแพร่รายงาน 81 หน้าที่ให้กรอบการทำงานโดยละเอียดและครอบคลุมในการต่อสู้กับแรนซัมแวร์[11] เอกสารนี้ควรช่วยให้ความรู้แก่บุคคลเกี่ยวกับความแตกต่างของแรนซัมแวร์พร้อมกับให้แนวทางนโยบายที่ปฏิบัติได้จริง
RTF ซึ่งได้รับการสนับสนุนโดยสถาบันความปลอดภัยและเทคโนโลยี (IST) ประกอบไปด้วยตัวแทนจากบริษัทเทคโนโลยีชั้นนำ เช่น Microsoft และ Amazon; องค์กรด้านความปลอดภัยทางไซเบอร์ เช่น Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber Threat Alliance และ Global Cyber Alliance; และองค์กรภาครัฐ เช่น UK National Cyber Security Centre (NCSC) และ US Cybersecurity and Infrastructure Security Agency (CISA)
เจบีเอส & ซีเอ็นเอ: JBS ซึ่งเป็นบริษัทแปรรูปเนื้อสัตว์รายใหญ่ที่สุดแห่งหนึ่งในสหรัฐอเมริกา กลายเป็นหนึ่งในเหตุการณ์แรนซัมแวร์ที่ได้รับความสนใจสูงที่สุดหลังจากเหตุการณ์ Colonial Pipeline การโจมตีครั้งนี้ส่งผลกระทบเป็นวงกว้าง โดยรายงานว่าโรงงานของ JBS ในออสเตรเลีย แคนาดา และสหรัฐอเมริกา ได้รับผลกระทบทั้งหมด[12] ในที่สุด JBS ก็ต้องจ่ายค่าไถ่เป็นเงินประมาณ 11 ล้านเหรียญสหรัฐ ด้วยความตั้งใจที่จะให้แน่ใจว่าผู้ก่อเหตุจะไม่ขโมยข้อมูลของบริษัท[13]
อย่างไรก็ตาม การจ่ายเงินดังกล่าวยังดูเล็กน้อยเมื่อเทียบกับเงินเกือบ 40 ล้านเหรียญสหรัฐที่องค์กรประกันภัย CNA Financial Corp. รายงานว่าจ่ายไปเพื่อ "ควบคุมเครือข่ายของตนอีกครั้งหลังจากถูกโจมตีด้วยแรนซัมแวร์"[14] แม้ว่าการโจมตีดังกล่าวดูเหมือนจะเกิดขึ้นในเดือนมีนาคม แต่รายละเอียดการจ่ายค่าไถ่เพิ่งได้รับการเปิดเผยต่อสาธารณะในช่วงปลายเดือนพฤษภาคม
เสียงของสภาคองเกรสไม่เห็นด้วย: ในการพิจารณาของรัฐสภาเมื่อสัปดาห์ที่แล้ว สมาชิกรัฐสภาได้หารือกับโจเซฟ บลันต์ ซีอีโอของ Colonial Pipeline ซ้ำแล้วซ้ำเล่าเกี่ยวกับวิธีการตอบสนองต่อเหตุการณ์เรียกค่าไถ่ สมาชิกรัฐสภาบางคนยืนยันว่า Colonial Pipeline ปฏิเสธการตรวจสอบความปลอดภัยทางไซเบอร์โดยสมัครใจของ Transportation Security Administration โดยสมาชิกสภาผู้แทนราษฎร บอนนี่ วัตสัน โคลแมน (พรรคเดโมแครต) กล่าวว่า "การเลื่อนการประเมินเหล่านี้ออกไปเป็นเวลานานเท่ากับเป็นการปฏิเสธการประเมินครับ"[15] คนอื่นๆ มีปัญหากับการตัดสินใจของท่อส่งน้ำมันที่จะไม่ติดต่อ DHS และ CISA ทันทีหรือยอมรับความช่วยเหลือในการฟื้นฟู[16] สมาชิกรัฐสภาไม่กี่คนถึงกับตั้งคำถามว่ามาตรฐานความปลอดภัยทางไซเบอร์แบบสมัครใจและแนวทาง "ไม่ยุ่งเกี่ยว" ต่อโครงสร้างพื้นฐานที่สำคัญยังสามารถใช้ได้หรือไม่[17]
การดำเนินการและการวิเคราะห์
**จำเป็นต้องเป็นสมาชิก**
คองเกรส -
วันอังคารมิถุนายน 15th:
– ไม่มีการพิจารณาคดีที่เกี่ยวข้อง
วันพุธที่มิถุนายน 16th:
– วุฒิสภา – คณะกรรมาธิการด้านความมั่นคงภายในประเทศและกิจการของรัฐบาล: ประชุมทางธุรกิจเพื่อพิจารณาการเสนอชื่อเจน อีสเตอร์ลี ให้ดำรงตำแหน่งผู้อำนวยการหน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน กระทรวงความมั่นคงแห่งมาตุภูมิ และคริส อิงกลิส ให้ดำรงตำแหน่งผู้อำนวยการด้านไซเบอร์ระดับประเทศ
-สภาผู้แทนราษฎร – คณะกรรมการด้านความมั่นคงภายในประเทศ: ภัยคุกคามทางไซเบอร์ในท่อส่งน้ำมัน: บทเรียนจากการตอบสนองของรัฐบาลกลางต่อการโจมตีด้วยแรนซัมแวร์ในท่อส่งน้ำมัน Colonial
วันพฤหัสบดีที่ 17 มิถุนายน:
– ไม่มีการพิจารณาคดีที่เกี่ยวข้อง
นานาชาติ การพิจารณาคดี/การประชุม -
– ไม่มีการประชุมที่เกี่ยวข้อง
สหภาพยุโรป -
การประชุมสัมมนาทางเว็บและการประชุมสุดยอด –
ติดต่อเรา: ติดตาม @HealthISAC และส่งอีเมลได้ที่ contact@h-isac.org
[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj
[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/
[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html
[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj
[6] https://www.cybercom.mil/About/Mission-and-Vision/
[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live
[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf
[11] https://securityandtechnology.org/ransomwaretaskforce/
[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/
[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack
[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/
- แหล่งข้อมูลและข่าวสารที่เกี่ยวข้อง