Skip to main content

Health-ISAC Hacking Healthcare 6-15-2021

TLP White: Ngayong linggo, Pag-hack ng Pangangalaga sa Kalusugan ay nakatuon sa pagsasama-sama at pagsusuri sa ipoipo ng kamakailang mga pagpapaunlad ng ransomware sa parehong pampubliko at pribadong sektor. Bilang karagdagan sa paghahati-hati sa kung ano ang nangyayari, nagbabanggit kami ng mga bagong patnubay at rekomendasyon at nagbibigay ng aming mga saloobin sa kung paano nakatulong o hindi nakakatulong ang mga pag-unlad na ito sa pagtugon sa isyu ng ransomware.

Bilang paalala, ito ang pampublikong bersyon ng blog ng Hacking Healthcare. Para sa karagdagang malalim na pagsusuri at opinyon, maging miyembro ng H-ISAC at tanggapin ang TLP Amber na bersyon ng blog na ito (magagamit sa Portal ng Miyembro.)

 

Maligayang pagbabalik sa Pag-hack ng Pangangalaga sa Kalusugan.

 

1. pagpapakilala

Ang Ransomware ay walang problema sa pagpapanatili ng spotlight dahil ang mga high-profile na insidente ay patuloy na tumataas sa nakalipas na ilang linggo. Ang mga awtoridad ng gobyerno at mga organisasyon ng pribadong sektor ay nagsusumikap na tugunan ang lalong kahila-hilakbot na sitwasyon, at ang bilis ng pag-unlad ng pangkalahatang sitwasyon ay maaaring gawing madaling makaligtaan ang mga kritikal na pag-unlad. Sa pag-iisip na ito, inilaan namin ang edisyong ito ng Pag-hack ng Pangangalaga sa Kalusugan sa pagsusuri ng mga kamakailang pagpapaunlad ng ransomware, pagtatasa ng epekto ng mga ito sa pribadong sektor, at pag-highlight ng ilang rekomendasyon na maaaring makita ng mga miyembro ng H-ISAC na mahalaga.

 

Tugon ng Pamahalaan

 

Magsisimula tayo sa administrasyong Biden. Ginawa ng administrasyon ang cybersecurity bilang isang priority issue area at walang nakitang kakulangan sa mga kritikal na insidente sa cybersecurity na tutugunan. Sa kabila ng timing na kasabay ng pag-atake ng ransomware ng Colonial Pipeline, ang kamakailang mga executive order na nauugnay sa cyber ng administrasyon sa panghihimasok ng Russia, mga hamon sa supply chain, at cybersecurity ay iniakma lalo na bilang tugon sa mga naunang insidente tulad ng SolarWinds at hindi gaanong nakatuon sa isyu ng ransomware . Gayunpaman, sa nakalipas na ilang linggo ang administrasyong Biden ay gumawa ng maraming hakbang patungo sa pagtugon sa walang tigil na alon ng ransomware.

 

Department of Justice

 

Lalo na naging aktibo ang Department of Justice (DOJ) sa lugar na ito.

 

Ransomware Task Force: Sa madaling sabi naming tinalakay sa isang naunang edisyon, isang panloob na memo ng DOJ ang inilabas noong huling bahagi ng Abril na nag-anunsyo ng pagbuo ng isang ransomware task force. Kinilala ng memo na ang ransomware ay hindi lamang isang lumalagong banta sa ekonomiya, ngunit isang banta din sa kalusugan at kaligtasan ng mga mamamayang Amerikano.[1] Naiulat na ang memo na ito ay hahantong sa pinahusay na pagbabahagi ng katalinuhan sa buong DOJ, ang paglikha ng isang diskarte na nagta-target sa bawat aspeto ng ransomware ecosystem, at isang mas proactive na diskarte sa pangkalahatan.[2]

 

Pagtaas ng Ransomware: Ang nabanggit na diskarte at diskarte ay bahagyang na-unveiled sa simula ng Hunyo nang iulat na ang karagdagang panloob na patnubay ng DOJ ay ipinakalat na nagbigay ng mga pagsisiyasat sa mga pag-atake ng ransomware ng katulad na priyoridad sa terorismo.[3] Ang hakbang ay nangangailangan ng mga kaso at pagsisiyasat ng ransomware na sentral na makipag-ugnayan sa taskforce ng ransomware sa Washington, DC upang matiyak na ang pinakamahusay na posibleng pag-unawa at larawan ng pagpapatakbo ay maaaring magawa para sa iba't ibang stakeholder na kasangkot sa mga insidente ng ransomware.

 

Pagbawi ng Pantubos: Nang bayaran ng Colonial Pipeline ang ransom demand sa Bitcoin, marami ang nag-akala na ang mga may kasalanan at ang pera ay wala na. Gayunpaman, ang isang operasyong pinangunahan ng FBI ay nakakuha ng $2.3 milyon sa Bitcoin na binayaran bilang pantubos.[4] Sinusubaybayan umano ng FBI ang paggalaw ng mga pondo ng ransom sa isang nakikita ng publiko na Bitcoin ledger at pagkatapos ay nakakuha ng access sa virtual account kung saan napunta ang karamihan sa mga ito.[5]

 

US CYBERCOM

 

Sa labas ng DOJ, ang US Cyber ​​Command (CYBERCOM), na ang misyon ay "Idirekta, I-synchronize, at I-coordinate ang Cyberspace Planning and Operations - to Defend and Advance National Interests - in Collaboration with Domestic and International Partners," ay mayroon ding papel na gagampanan sa pagtugon sa mga banta ng ransomware.[6]

 

Pagdinig: Sa isang virtual na pagdinig noong nakaraang Biyernes, tumanggi si Gen. Nakasone, na parehong pinuno ng CYBERCOM at ang direktor ng NSA, na nangangailangan ng mga bagong awtoridad na habulin ang mga cybercriminal group.[7] Sinabi niya na sa palagay niya ay nasa kanya ang "lahat ng awtoridad na kailangan ko upang makapag-usig sa matalinong katalinuhan laban sa mga kalaban na ito sa labas ng Estados Unidos."[8] Gayunpaman, partikular na pinag-uusapan ang tungkol sa ransomware, ipinahayag niya na ang tunay na hamon, at ang ginagawa ng administrasyong Biden, ay kung paano magbahagi at mag-coordinate ng katalinuhan at pagkilos sa iba't ibang pampubliko at pribadong stakeholder habang tinutukoy din kung sino ang nangunguna sa pangkalahatang pagsisikap. [9]

 

DHS

 

Patnubay – CISA: Tumataas na Banta ng Ransomware sa OT Assets: Ang mataas na kahalagahan ng ransomware ay humantong din sa paglalathala ng karagdagang patnubay mula sa gobyerno, kabilang ang isang fact sheet ng CISA na pinamagatang, Tumataas na Banta ng Ransomware sa Mga Asset ng Teknolohiya sa Pagpapatakbo.[10] Ang tatlong-pahinang dokumento ay nagbibigay ng isang pangkalahatang-ideya ng banta ng ransomware, partikular sa mga asset ng OT, at pagkatapos ay binabalangkas ang mga aksyon na dapat gawin ng mga organisasyon upang maghanda, mapagaan, at tumugon sa ransomware.

 

Mga Pagpapaunlad ng Pribadong Sektor

 

Nagkaroon din ng ilang kapansin-pansing pag-unlad ng ransomware na nauukol sa pribadong sektor sa mga nakaraang linggo. Sa kasamaang palad, ang mga pag-unlad na ito ay may posibilidad na maging mas negatibo sa halip na positibo. Ang mga high-profile ransomware attacks ay patuloy na nagreresulta sa multi-million-dollar ransom payments, at ang US Congress ay lubos na naging kritikal sa kung paano tumugon ang pribadong sektor sa mga insidente.

 

IST Ransomware Task Force (RTF): Ang RTF, isang grupo ng ~60 eksperto mula sa pampubliko at pribadong sektor, ay naglabas ng 81-pahinang ulat na nagbibigay ng detalyado at masusing balangkas para sa paglaban sa ransomware.[11] Ang dokumentong ito ay dapat makatulong na turuan ang mga indibidwal sa mga nuances ng ransomware habang nagbibigay din ng praktikal at naaaksyunan na mga aksyon sa patakaran.

 

Pinagsama-sama ng Institute for Security and Technology (IST), ang RTF ay kinabibilangan ng representasyon mula sa mga pangunahing kumpanya ng teknolohiya tulad ng Microsoft at Amazon; mga organisasyong cybersecurity tulad ng Rapid7, Palo Alto Networks, Cybersecurity Coalition, Cyber ​​Threat Alliance, at Global Cyber ​​Alliance; at mga organisasyon ng pamahalaan tulad ng UK National Cyber ​​Security Center (NCSC) at ang US Cybersecurity and Infrastructure Security Agency (CISA).

 

 

JBS at CNA: Ang JBS, Isa sa pinakamalaking processor ng karne sa United States, ay naging isa sa mga susunod na high-profile na insidente ng ransomware pagkatapos ng Colonial Pipeline. Ang pag-atake ay may malawak na epekto, dahil ang mga operasyon ng JBS sa Australia, Canada, at US ay lahat ay naiulat na apektado.[12] Sa huli, nagbayad ang JBS ng ransom na humigit-kumulang $11 milyon na may layuning tiyaking hindi nakawin ng mga salarin ang data ng kumpanya.[13]

 

Gayunpaman, ang pagbabayad na iyon ay hindi gaanong kumpara sa halos $40 milyon na iniulat na binayaran ng organisasyon ng insurance na CNA Financial Corp. upang "mabawi ang kontrol sa network nito pagkatapos ng pag-atake ng ransomware."[14] Habang lumilitaw na nangyari ang pag-atakeng iyon noong Marso, naging pampubliko lamang ang mga detalye ng pagbabayad ng ransom noong huling bahagi ng Mayo.

 

Hindi Pag-apruba ng mga Tinig ng Kongreso: Sa isang pagdinig sa kongreso noong nakaraang linggo, paulit-ulit na nakipag-ugnayan ang mga mambabatas kay Colonial Pipeline CEO Joseph Blunt sa paraan ng pagtugon nila sa kanilang insidente ng ransomware. Iginiit ng ilang Mambabatas na ang mga boluntaryong pagsusuri sa cybersecurity ng Transportation Security Administration ay tinanggihan ng Colonial Pipeline, kung saan sinabi ni Rep. Bonnie Watson Coleman (D): "Ang pagkaantala sa mga pagtatasa na ito nang napakatagal ay katumbas ng pagtanggi sa kanila, sir."[15] Ang iba ay nagpasya sa desisyon ng pipeline na hindi agad makipag-ugnayan sa DHS at CISA o tanggapin ang kanilang tulong sa mga operasyon sa pagbawi.[16] Ang ilang mga miyembro ng kongreso ay nagtanong kung ang mga boluntaryong pamantayan sa cybersecurity at isang "hands-off" na diskarte sa kritikal na imprastraktura ay maaari pa rin.[17]

 

Pagkilos at Pagsusuri
**Kinakailangan ang membership**

 

 

Kapulungang-bansa -

 

Martes, Hunyo 15th:

– Walang nauugnay na mga pagdinig

 

Miyerkules, ika-16 ng Hunyo:

– Senado – Committee on Homeland Security and Governmental Affairs: Business meeting para isaalang-alang ang mga nominasyon ni Jen Easterly, para maging Director ng Cybersecurity and Infrastructure Security Agency, Department of Homeland Security, at Chris Inglis, para maging National Cyber ​​Director.

 

-House of Representatives – Committee on Homeland Security: Cyber ​​Threats in the Pipeline: Mga Aral mula sa Federal Response to the Colonial Pipeline Ransomware Attack

 

Huwebes, ika-17 ng Hunyo:

– Walang nauugnay na mga pagdinig

 

Internasyonal Mga Pagdinig/Pagpupulong -

- Walang nauugnay na mga pagpupulong

 

EU -

 

 

 

Mga Kumperensya, Webinar, at Summit -

 

 

https://h-isac.org/events/

 

Makipag-ugnayan sa amin: sundan ang @HealthISAC, at mag-email sa contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Mga Kaugnay na Mapagkukunan at Balita
Health-ISAC Hacking Healthcare 6-22-2021
Health-ISAC Hacking Healthcare 6-8-2021