Skip to main content

Paksa ng Post: Banta ng Intelligence

Health-ISAC Health Sector Heartbeat – Q3 2025

Sinulat ni Julia Annaloro on . Nai-post sa Mga Mapagkukunan at Balita, Banta ng Intelligence, Walang Kategorya, Puting papel.

Ang Health-ISAC Heartbeat ay nagbibigay ng mga obserbasyon sa ransomware, mga uso sa cybercrime, at mga pag-post ng malisyosong forum ng aktor na posibleng makaapekto sa mga organisasyon ng sektor ng kalusugan. Ang produktong ito ay para sa situational awareness.

Mga Paksa:

  • Mga Pag-atake ng Ransomware sa Sektor ng Kalusugan
  • Pagsusuri ng mga Pangkalahatang Kaganapan
  • Naka-target na Mga Trend ng Alerto
  • Aktibidad sa Underground Forums
  • Mga Profile at Pagbabawas ng Aktor ng Banta
  • Karagdagang Mga Rekomendasyon

 

 

Cross-Sector Mitigations: Nagkalat na Gagamba

Sinulat ni Julia Annaloro on . Nai-post sa Mga Espesyal na Update, Banta ng Intelligence.

Patnubay para sa Proactive Defense

Ginawa ng Financial Services ISAC, Information Technology ISAC, Food and Agriculture ISAC, Health ISAC, Aviation ISAC, Automotive ISAC, Retail and Hospitality ISAC, Maritime Transportation System ISAC, Electricity ISAC, at National Council of ISACs, kasama ang mga kontribusyon mula sa mga kasosyo sa pribadong sektor ng Communications ISAC.

Download

Bersyon ng teksto:

Kalat-kalat na Pagsusuri sa Banta ng Gagamba

pagpapakilala

Ang mga miyembro ng National Council of ISACs (NCI) ay tinatasa nang may mataas na kumpiyansa na ang banta ng grupong aktor na Scattered Spider ay nagpapakita ng isang tunay na banta, at ang kakayahan nitong pagsamantalahan ang mga kahinaan ng tao sa pamamagitan ng social engineering ay ginagawang malaking panganib ang grupo sa mga organisasyon.

Ang pagsusuring ito ay nagdedetalye ng aktibidad ng Scattered Spider batay sa naobserbahang tradecraft nito sa mga sektor simula Mayo 2025, na nagbibigay ng:

🔹 Background sa Scattered Spider para mas masakop ng mga kumpanya ang kanilang banta

🔹 Mga teknikal na pamamaraan at kultural na kasanayan upang hadlangan ang mga pag-atake ng Scattered Spider

🔹 Pagsusuri ng miyembro ng Information Sharing and Analysis Center (ISAC) at FBI intelligence at kaukulang MITER ATT&CK® pagpapagaan

Ang mga inirekumendang hakbang ay napatunayang epektibo laban sa Scattered Spider at mga katulad na aktor ng pagbabanta, ayon sa pagtatasa ng eksperto sa katalinuhan. Ang mga pagpapagaan ay isinasama ang mga pangunahing pangangailangan ng FS-ISAC mga pangunahing kaalaman sa cyber, na naka-key sa Mga Scattered Spider TTP (mga taktika, diskarte, at pamamaraan) batay sa mga kilalang banta.

Gayunpaman, ang mga aktor ng pagbabanta tulad ng Scattered Spider ay patuloy na nagbabago, kaya ang mga organisasyon ay dapat maging masigasig sa patuloy na pagsubaybay sa kanilang mga proseso at pagkakakilanlan upang maghanap ng mga bagong pagsasamantala.

Ang mga natuklasang ito ay magkatuwang na ginawa ng Financial Services, Information Technology, Food and Agriculture, Health, Aviation, Automotive, Retail and Hospitality, at Maritime Transportation System ISACs, at ng NCI. Ang NCI ay binubuo ng 28 organisasyon at idinisenyo upang i-maximize ang daloy ng impormasyon sa mga kritikal na imprastraktura ng pribadong sektor at mga ahensya ng gobyerno.

Background at TTP

Ang Scattered Spider ay isang financially – sa halip na ideologically – motivated na grupo ng mga batang independent operator sa UK, US, at Canada. Ayon sa mga mananaliksik, ang Scattered Spider ay bahagi ng isang mas malaking komunidad ng pag-hack na kilala bilang The Community o The Com, na nag-aayos sa pamamagitan ng mga online platform, kabilang ang Discord at Telegram group chat. Gumagamit ang Scattered Spider ng lubos na epektibong mga diskarte sa social engineering at pagnanakaw ng kredensyal upang makapasok sa mga target na network, pagkatapos ay i-monetize ang mga pag-atake nito sa pamamagitan ng pagnanakaw ng data, pangingikil, o mga operasyon ng affiliate na ransomware. Ang grupo ay kilala sa malawak na reconnaissance nito na tumutukoy sa mga persona na aampon o mga empleyadong ita-target. Karamihan sa tagumpay ng Scattered Spider ay iniuugnay sa bilis nito at mababang pagsisikap, madaling ibagay na pag-target.

*****

Sidebar:

Ang mga aktor ng pagbabanta ay madalas na sumasali sa pagreremedia ng insidente at mga tawag sa pagtugon at teleconferences, malamang na matukoy kung paano sila hinahabol ng mga security team at aktibong bumuo ng mga bagong paraan ng panghihimasok bilang tugon sa mga depensa ng biktima. Minsan ito ay nakakamit sa pamamagitan ng paglikha ng mga bagong pagkakakilanlan sa kapaligiran at kadalasang pinaninindigan ng mga pekeng profile sa social media upang i-backstop ang mga bagong likhang pagkakakilanlan." Cybersecurity Advisory: Nagkalat na Gagamba – isang pinagsamang Federal Bureau of Investigation (FBI) at Cybersecurity and Infrastructure Security Agency (CISA) advisory

*****

Aktibo mula noong unang bahagi ng 2022, ang Scattered Spider ay unang naobserbahang nagta-target sa mga entity ng telekomunikasyon at business process outsourcing (BPO), na malamang bilang isang springboard para sa mga social engineering operations upang makakuha ng hindi awtorisadong pag-access sa iba pang mga target at sa kanilang mga stakeholder. Simula noon, na-link ang grupo sa mahigit 100 pag-atake sa maraming vertical ng market, ngunit may posibilidad na i-target ang isang sektor sa isang pagkakataon. Ang Scattered Spider ay kilala sa 2023 na kompromiso ng Caesars Entertainment at MGM Resorts at ang 2022 na pag-atake sa Twilio, na nagresulta sa isang supply chain attack na nakaapekto sa Signal messaging app. Tinarget nito ang mga retailer ng US at UK noong Abril at Mayo 2025, pagkatapos ay inilipat ang pagtuon nito sa sektor ng pananalapi, partikular na ang mga kompanya ng seguro, at ang sektor ng aviation.

  1. Paunang access na nakuha sa pamamagitan ng:

    >Mga pag-atake ng social engineering

    >Pag-atake ng pagkapagod ng MFA

  2. Kinukuha ang mga pribilehiyo ng admin sa pamamagitan ng:

    • Paglalaglag ng kredensyal
    • Mga naka-imbak na kredensyal at sikreto

 

3. Pagtitiyaga na nakuha ng:

> Naka-iskedyul na mga gawain

>Masasamang serbisyo

>Paglikha ng lokal na user

>Mga mekanismo ng pagtitiyaga ng ulap

 

4. Ang pag-iwas sa pagtatanggol ay pinagana ng:

>Hindi pinapagana ang AV/EDR

>Pagbabago sa mga Windows GPO

>Hindi pagpapagana sa Defender, pag-log, o telemetry

>Pag-alis ng mga driver ng EDR

5. Lateral na paggalaw sa pamamagitan ng:

>PsExec

>Pag-remote ng PowerShell

>WMI

> Mga lehitimong koneksyon sa VPN o Citrix

 

Ang karaniwang taktika ay hikayatin ang mga ahente ng IT helpdesk na magsagawa ng self-service password resets (SSPRs) para sa mga naka-target na account. Kasama sa mga diskarte ng Scattered Spider ang paggamit ng mga mensahe ng short message service (SMS) — ibig sabihin, pag-text — at voice phishing (smishing at vishing) para kumuha ng mga kredensyal para sa single sign-on (SSO) dashboard, Microsoft Office 365/Azure, VPN, at edge device.

Ang grupo ay kilala rin sa pag-hijack ng multifactor authentication (MFA) sa pamamagitan ng subscriber identity module (SIM)-swapping. Pagkatapos ay tinatalo nito ang MFA sa pamamagitan ng notification fatigue o nakumbinsi ang mga ahente ng helpdesk na i-reset ang paraan ng MFA ng mga naka-target na account.

Matapos matagumpay na ikompromiso ang account ng isang user, ang mga operatiba ng Scattered Spider ay nagrerehistro ng iba pang mga device sa ilalim ng account. Kapag nakakuha ito ng mga pribilehiyong pang-administratibo, lumilikha ito ng mga account na kontrolado ng attacker sa loob ng kapaligiran ng biktima. Pagkatapos, ang aktor ng pagbabanta ay nagtatatag ng pagtitiyaga para sa hindi awtorisadong pag-access sa kapaligiran ng biktima at bubuo sa kalabisan upang hadlangan ang mga pagtatangka na alisin ang malware o pag-access.

Kasama sa kasunod na aktibidad ng reconnaissance ang pagsubok na tumuklas ng mga corporate platform – kabilang ang Windows, Linux, Google Workspace, Microsoft Entra ID (dating Azure Active Directory), Microsoft 365, AWS, at iba pang tool na naka-host sa cloud infrastructure – at paglipat sa gilid, pag-download ng mga naaangkop na tool para ma-exfiltrate ang sensitibong data.

*****

Sidebar:

Nakatanggap ang Health-ISAC ng intelligence na nag-uugnay sa Amadey botnet sa mga pag-atake ng Scattered Spider. Ang Amadey botnet ay ginamit ng mga ransomware actor gaya ng BlackSuit, BlackBasta, at Akira para ihulog ang mga malware loader sa mga network ng biktima. Iniiwasan ng botnet ang pagkilos sa pagpapatupad ng batas laban sa mga platform ng malware-as-a-service (MaaS), na nagbibigay-daan dito na umunlad mula noong 2018.

*****

Ang malalim na pag-unawa sa katutubong imprastraktura ng biktima ay nagbibigay-daan sa Scattered Spider na magsagawa ng masasamang follow-on na aktibidad. Sa pamamagitan ng malalim na pag-unawa na ito - hal., ang kakayahang magsagawa ng mga diskarte sa pamumuhay sa labas ng lupa - na maaaring iwasan ng grupo ang mga karaniwang pamamaraan ng pagtuklas. Ang pangkat ng pagbabanta ay maaari ding mag-deploy ng malware na nag-aalis ng mga nakakahamak na naka-sign na driver na idinisenyo upang wakasan ang mga prosesong nauugnay sa software ng seguridad at magtanggal ng mga file.

Gumagamit ang Scattered Spider ng kamakailang nakarehistro at lubos na nakakakumbinsi na mga phishing domain name na ginagaya ang mga lehitimong login portal, lalo na ang mga pahina ng pagpapatunay ng Okta. Ang mga domain na ito ay may maikling habang-buhay o uptime, na nagpapahirap sa pagtuklas.

Mula noong 2023, ang Scattered Spider ay naobserbahan gamit ang limang natatanging phishing kit, dahil ang mga diskarte sa deployment ng grupo ay nagbago upang isama ang mga Dynamic na DNS provider. Bukod pa rito, isinama ng grupo ang Spectre remote access trojan (RAT) sa attack chain nito para sa pag-deploy ng malware sa mga nakompromisong system upang makakuha ng patuloy na pag-access. Kasama sa malware na ito ang mga mekanismo para sa malayuang pag-uninstall at pag-broker ng mga koneksyon sa karagdagang command and control (C2) server, na nagmumungkahi na ang grupo ay maaaring gumagamit ng imprastraktura ng C2 upang magsagawa ng mga aksyon pagkatapos ng pagsasamantala sa mga network ng biktima.

*****

Sidebar:

Mga Kilalang Domain Name na Ginamit ng Scattered Spider

  • targetsname-sso[.]com
  • targetsname-servicedesk[.]com
  • targetsname-okta[.]com
  • targetsname-cms[.]com
  • targetsname-helpdesk[.]com
  • oktalogin-targetcompany[.]com

Nagkalat na Gagamba Advisory sa Cybersecurity sama-samang ginawa ng FBI, CISA, Royal Canadian Mounted Police, Australian Signals Directorate's Australian Cyber Security Center, Australian Federal Police, Canadian Center for Cyber Security, at National Cyber Security Center ng United Kingdom

*****

Rekomendasyon

Ang mga sumusunod na rekomendasyon ay napatunayang epektibo para sa mga miyembro ng ISAC. Marami ang nakuha mula sa FS-ISAC's mga pangunahing kaalaman sa cyber, isang risk-based, defense-in-depth na diskarte ng baseline cybersecurity necessities na naaangkop sa mga organisasyon sa anumang antas ng cyber maturity.

Gumamit ng multi-channel na proseso ng pag-verify — Walang organisasyon ang dapat umasa sa isang channel ng komunikasyon para sa mga pagbabago sa password ng mga empleyado o mga kahilingan sa pag-reset ng MFA. Ang ilang mga kumpanya ay maaaring makinabang mula sa paggamit ng isang paunang natukoy na listahan ng mga tanong na ang empleyado lamang ang makakasagot upang simulan ang password at pag-reset ng MFA. At ang mga empleyado ng IT ay dapat palaging makaramdam ng kapangyarihan na hamunin ang anumang kahilingan sa pag-verify ng ibang empleyado.

Mga Hakbang sa Pagkilos:

  • Ang departamento ng IT ay dapat gumamit ng multi-channel na pag-verify, kabilang ang:
  • Pag-verify ng mga kahilingang ginawa sa pamamagitan ng email, text, o telepono gamit ang isang tawag pabalik sa isang pre-registered at kilalang-kilalang numero ng telepono
  • Mga static na PIN sa isang pisikal na badge
  • Visual na pagpapatunay
  • Gumamit ng vocal password na alam lang ng mga empleyado, o isang hanay ng mga sagot sa mga tanong na hindi madaling mahulaan, ibig sabihin, "Ano ang pangalan ng dalaga ng iyong ina? Ano ang petsa ng pagsisimula mo sa trabaho? Ano ang asset tag ng iyong laptop sa trabaho?"

Atasan ang dalawang empleyado na aprubahan ang ilang uri ng mga kahilingan — gaya ng malalaking paglilipat sa pananalapi — o mga kahilingan mula sa mga empleyadong may mataas na antas ng mga pribilehiyo.

  • Makipag-ugnayan sa manager ng empleyado kapag humiling ang empleyado ng pag-reset ng parehong mga kredensyal at MFA.
  • Paunlarin ang isang kultura kung saan ang mga kawani ng IT ay inaasahan at binibigyang kapangyarihan na tanungin ang anumang hindi pangkaraniwan o napakasensitibong mga kahilingan, kahit na mula sa mga executive, nang walang takot sa mga epekto.

 

Tumutok sa Mga Taktika sa Social Engineering — Umaasa ang Scattered Spider sa mga pagsasamantala sa social engineering at napaka-creative sa paggamit nito ng phishing, vishing, at smishing. Ang grupo ng pagbabanta ay kadalasang naglalagay ng pakiramdam ng pagkaapurahan sa mga pang-akit nito at nabiktima ng mga takot, empatiya, at paggalang sa awtoridad ng mga biktima. Isama ang mga TTP na iyon sa mga simulation at subukan ang mga tugon ng mga empleyado sa kanila.

Mga Hakbang sa Pagkilos:
  • Ipatupad ang patuloy, mandatoryong pagsasanay sa kaalaman sa seguridad at mga simulation ng phishing na may mga karaniwan at kasalukuyang pang-akit.
  • Iangkop ang pagsasanay sa tungkulin — IT helpdesk, mga kinatawan ng serbisyo sa customer, kawani ng HR, at mga executive ng C-Suite ay maaaring mangailangan ng mas detalyado at partikular na pagsasanay sa mga taktika ng aktor ng pagbabanta at kasalukuyang mga kampanya.
  • Sanayin ang mga kinatawan ng serbisyo sa customer sa mga pamamaraan ng helpdesk. Halimbawa, patibayin na ang kanilang helpdesk ay hindi kailanman hihilingin sa isang empleyado na mag-install ng remote na software ng tulong o i-bypass ang anumang kontrol sa seguridad.
  • Gumamit ng hindi bababa sa pribilehiyo upang ang mga empleyado, lalo na ang mga kinatawan ng serbisyo sa customer, ay nangangailangan ng karagdagang pag-verify mula sa end user bago magbigay ng higit na access.

 

Suriin ang Mga Profile ng Social Media ng mga Admin, Lalo na ang mga Cloud Admin Ang mga profile at post sa social media ng mga admin ay maaaring hindi sinasadyang magpakita ng impormasyong may kaugnayan sa trabaho – ibig sabihin, mga responsibilidad, kasaysayan ng trabaho, mga kasamahan, araw-araw na gawain – na ginagamit ng mga banta ng aktor upang maiangkop ang mga pag-atake (hal. Ang mga tagapangasiwa ng cloud ay mga partikular na target. Ang pagkuha ng kanilang mga pribilehiyo sa pag-access ay magbibigay sa mga aktor ng pagbabanta ng access at kontrol sa mahahalagang mapagkukunan ng ulap at ang kakayahang magdulot ng malawakang pinsala. Ang mga kumpanya ay dapat magpatupad ng mga patakaran sa social media na naglalarawan sa mga banta ng impormasyon na pinagsasamantalahan at ipinagbabawal ng mga aktor ang naturang impormasyon sa mga post sa social media. Regular na suriin ang social media ng mga admin – lalo na ang mga post ng mga admin ng cloud – para sa pag-align sa patakaran ng social media.

Mga Hakbang sa Pagkilos:
  • Bumuo at magpatupad ng mga detalyadong patakaran sa social media na partikular sa pag-access na nagpapaliwanag sa mga uri ng impormasyon na — at hindi — pinahihintulutang mag-post.
  • Magsagawa ng mga pag-audit upang matiyak ang pagsunod.
  • Magbigay ng pagsasanay sa mga panganib ng pagbabahagi ng mga sensitibong detalye ng propesyonal.

 

Suriin ang Mga Karapatan sa Pag-access sa Helpdesk - Ang mga karapatan sa helpdesk ay maaaring lumipad sa paglipas ng panahon, kung minsan ay nagbibigay ng mga pribilehiyo sa lahat ng mga console ng admin, tulad ng daloy ng mail, mga kontrol sa seguridad, atbp. Ang pag-audit ng mga karapatan sa pag-access sa helpdesk ay nagsisiguro ng pagkakahanay sa mga pangangailangan sa pagpapatakbo, habang pinipigilan ang hindi awtorisadong pag-access na maaaring pagsamantalahan ng mga aktor ng pagbabanta tulad ng Scattered Spider. Pinapahusay ng mga awtomatikong sistema ng pamamahala ang pangangasiwa.

Mga Hakbang sa Pagkilos:
  • Magpatupad ng mga automated system para sa patuloy na pagsubaybay at pagsasaayos ng mga karapatan sa pag-access.
  • Mag-iskedyul ng mga regular na pagsusuri sa pag-access upang matiyak ang pagkakahanay sa mga function ng trabaho.

Subaybayan ang mga Virtual Machine sa Cloud Environment – Magpatupad ng mga tool sa pagsubaybay upang magbigay ng mga alerto sa mga hindi awtorisadong virtual machine (VM) na aktibidad tulad ng mga kahina-hinalang serbisyo, abnormal na paggamit ng mapagkukunan, at mga pagtatangka sa pagtaas ng pribilehiyo, na may mga protocol upang ihiwalay at isara ang mga kahina-hinalang VM nang mabilis. Ang mabilis na kakayahang tumugon na ito ay mahalaga sa pagtukoy ng kahina-hinalang aktibidad, pagpigil sa mga potensyal na paglabag, at pagpapagaan ng mga banta.

Mga Hakbang sa Pagkilos:
  • Bumuo ng isang listahan ng mga pinahihintulutang aktibidad.
  • I-deploy ang mga monitoring at alerting system at hanapin ang mga puwang sa mga ito.
  • Magtatag ng mga protocol ng mabilis na pagtugon para sa mga hindi awtorisadong aktibidad.
  • Tanggalin ang mga hindi kinakailangang RMM na tool at isama ang mga honeytokens sa paligid ng paggamit ng RMM tool para sa maagang pagtuklas at kahulugan ng fingerprint.
  • I-configure ang mga browser at mga gawain upang regular na tanggalin ang patuloy na cookies.
  • I-minimize ang haba ng oras na mabubuhay ang isang web cookie — Ginagamit ng Scattered Spider ang mga ito para magtatag ng patuloy na pag-access at pag-exfiltrate ng data.

 

Suriin ang Mga Kontrol sa Seguridad ng Virtual Desktop Infrastructure - Tiyakin na ang mga virtual desktop infrastructure (VDI) na kapaligiran ay secure sa MFA, at patuloy na sinusubaybayan ang mga aktibidad ng user.

Mga Hakbang sa Pagkilos:
  • Suriin ang listahan ng mga gumagamit ng VDI upang matiyak na ito ay napapanahon.
  • Ipatupad ang MFA.
  • Huwag payagan ang mga personal na device na magkaroon ng direktang access sa Office 365, Enterprise Google Workspace, corporate VPN, atbp.
  • Mangangailangan ng MFA na lumalaban sa phishing, gaya ng YubiKeys, Windows Hello for Business, atbp. Huwag magtiwala sa mga user na aprubahan ang mga kahilingan sa MFA o magbigay ng mga code.
  • Kung ang isang organisasyon ay may VDI upang payagan ang third-party na pag-access, tiyaking hindi ma-access ng mga VDI na iyon ang Secure Shells (SSH) o remote desk protocols (RDP), o maabot ang mga website na hindi kinakailangan para sa user upang maisagawa ang kanilang trabaho.
  • Magsagawa ng mga regular na pag-audit at real-time na pagsubaybay sa lahat ng session ng user.
  • Kumpirmahin na walang MFA sa pamamagitan ng SMS sa anumang mga application, kabilang ang mga application ng vendor. Ang SMS-based na MFA ay maaaring magpakilala ng malalaking panganib dahil:
      • Maaaring ma-intercept ang mga SMS message dahil hindi naka-encrypt ang mga ito
      • Maaaring i-bypass ng mga attacker ang MFA sa pamamagitan ng social engineering
      • Ang mga aktor ng pagbabanta ay maaaring makakuha ng kontrol sa isang numero ng telepono, maharang ang mga mensaheng SMS, at makakuha ng hindi awtorisadong pag-access sa pamamagitan ng pagpapalit ng SIM
      • Maaaring pigilan ng mga outage ang mga user na makatanggap ng mga authentication code

 

Tukuyin ang Mga Access Point at I-block ang High-Risk Access – Dapat pahintulutan ng maraming organisasyon ang mga empleyado, ahensya ng regulasyon, third-party na vendor, at iba pa na ma-access ang kanilang mga digital na imprastraktura. Pangalagaan ang lahat ng entry point – lalo na ang mga high-risk – na may mga kontrol o pagharang, at ipagpalagay na ang lahat ng pinamamahalaang service provider ay nakompromiso.

Mga Hakbang sa Pagkilos:
  • Huwag bigyan ang sinumang third party na walang harang na access sa isang corporate network.
  • Palitan ang mga site-to-site na VPN ng mga VDI gamit ang phishing-resistant MFA at zero trust hangga't maaari.
  • Tukuyin at i-block ang mga bagong likhang domain na lumalabas na mga potensyal na phishing site (hal, typosquatting domain name).
  • I-block ang anumang RAT executable mula sa paggana sa mga pinamamahalaang device.
  • I-block ang mga website ng lahat ng kilalang komersyal na remote na tool sa tulong.
  • Ipatupad ang geographic blocking kung saan posible.
  • I-block ang mga komersyal na VPN na kumokonekta sa corporate VPN o VDI gamit ang isang serbisyo tulad ng ip2proxy o Spur.
  • I-block ang mga uri ng device sa VPN kung hindi sila ginagamit ng mga kinatawan ng serbisyo sa customer. (Madalas na ginagamit ng mga kalaban ang Android device x86.)

 

Ibinigay ang Mga Pahintulot sa Pag-audit sa HR - Ang mahigpit na pag-align ng mga pahintulot ng HR sa mga pangangailangan sa pagpapatakbo ay nagpoprotekta sa sensitibong data ng empleyado at pinansyal.

Mga Hakbang sa Pagkilos:
  • Magsagawa ng komprehensibong pag-audit ng mga pahintulot sa pag-access ng HR.
  • Suriin ang mga karapatan sa pag-access ng vendor at provider.
  • Turuan ang mga tauhan ng HR sa mga panganib sa cybersecurity at wastong paghawak ng data.

 

Research Data Movement Utility sa SaaS Applications - Ang pagsubaybay at pagsubaybay sa mga paggalaw ng data sa loob ng mga system ng SaaS (Software-as-a-Service) (hal., Salesforce o ServiceNow) ay kritikal dahil ang mga SaaS application ay kadalasang mayroong (third-party) na Data Movement Utility na available para sa iba't ibang layunin at maaaring maglaman ng sensitibong impormasyon.

Mga Hakbang sa Pagkilos:
  • Isama ang data movement utility monitoring sa log data.
  • Mag-set up ng mga awtomatikong alerto at kontrol para sa hindi pangkaraniwang aktibidad ng data.

 

Suriin ang Mga Pinagkakatiwalaang IP Address na Exempt Mula sa MFA - Maaaring babaan ng mga organisasyon ang higpit ng MFA hinggil sa mga kahilingan mula sa isang pinagkakatiwalaang network, gaya ng VPN, network ng opisina, atbp. Ang pagliit sa mga pagbubukod sa MFA na ito ay nagpapalakas sa mga kontrol sa access sa network, isang mahalagang hakbang sa pag-secure ng pinansyal at sensitibong data.

Mga Hakbang sa Pagkilos:
  • Muling suriin at i-update ang listahan ng mga pinagkakatiwalaang IP address sa kapaligiran.
  • Palitan ang static na IP whitelisting ng mga dynamic na conditional access na patakaran.

 

Kilalanin ang Panloob na Banta na Ibinigay ng Mga Kinatawan ng Customer Service — Ang Scattered Spider ay madalas na nakakakuha ng paunang pag-access sa mga sistema ng negosyo sa pamamagitan ng panlilinlang sa mga kinatawan ng serbisyo sa customer – ngunit ito rin ay nagre-recruit sa kanila. Regular na mag-scan para sa potensyal na nakakahamak na aktibidad.

Mga Hakbang sa Pagkilos:
  • I-screen ang aktibidad ng mga customer service representative para sa mga senyales ng potensyal na kompromiso gaya ng:
    • Ang isang mataas na bilang ng mga pag-reset ng password o mga view ng account sa isang maikling panahon
    • Pag-access sa mga account ng customer nang hindi tumutugma sa mga hakbang sa pag-verify (hal., pag-input ng PIN ng customer, pagtutugma sa ANI, atbp.)
    • “Credential juggling,” ibig sabihin, pag-log in sa VPN sa ilalim ng mga kredensyal na iba sa mga ginagamit sa pag-access ng mga tool sa CSR
  • Maghanap ng mga text log ng suporta sa chat/email para sa mga pagtatangka sa recruitment sa pamamagitan ng paggamit ng mga string na paghahanap na tumutukoy sa mga karaniwang terminong ginagamit sa mga solicitation, gaya ng “Telegram,” “Wickr,” o “Get rich.”
  • Magpatupad ng time-bound na access para sa mga kinatawan ng customer service para sa mga kredensyal at VPN, at alerto sa anumang mga pag-login sa labas ng normal na oras ng pagtatrabaho ng mga ahente.

 

Mga Kalat-kalat na Taktika at Pagbabawas ng Gagamba

Kasama sa sumusunod na talahanayan ang pagsusuri ng mga dalubhasa sa cybersecurity ng ISAC sa katalinuhan na ibinahagi ng libu-libong miyembrong organisasyon. Marami sa mga taktika ang natuklasan ng FBI sa panahon ng mga pagsisiyasat ng Scattered Spider, na nakabalangkas sa pinagsamang CISA at FBI Scattered Spider cybersecurity advisory. Ang MITER ATT&CK mitigations ay nakuha mula sa pagsusuri nito sa mga TTP, batay sa mga obserbasyon ng organisasyon sa totoong mundo.

TINGNAN SA PDF SA ITAAS.

 

 

Health-ISAC 2025 Health Sector Cyber ​​Threat Landscape – ngayon sa Portuguese

Sinulat ni Julia Annaloro on . Nai-post sa Sa balita, Mga Espesyal na Update, Banta ng Intelligence, Puting papel.

Na-update noong Mayo 30, 2025.

Isang tradução em português deste relatório foi adicionada abaixo.
(Ang isang pagsasalin sa Portuges ng ulat na ito ay idinagdag sa ibaba)

 

Taunang Ulat sa Banta – 2025

Ang 2024 ay isang mapaghamong taon sa cybersecurity para sa mga sistema ng sektor ng kalusugan sa buong mundo.

Itinatampok ng Health-ISAC 2025 Health Sector Cyber ​​Threat Landscape ang patuloy na pagdami ng cyberattacks. Kabilang sa mga pangunahing natuklasan ang pagdagsa ng mga pag-atake ng ransomware, na may mga mas sopistikadong pamamaraan na ginagamit ng mga aktor ng pagbabanta.

Binibigyang-diin din ng ulat ang lumalaking banta ng mga aktor ng bansang estado at cyber-espionage, na nagta-target ng sensitibong data ng pasyente at intelektwal na ari-arian. Higit pa rito, ang pagtaas ng mga Internet of Medical Things (IoMT) na mga device ay nagpakilala ng mga bagong kahinaan, habang ang umuusbong na tanawin ng pagbabanta ay nangangailangan ng patuloy na pagbagay ng mga hakbang sa seguridad para sa mga organisasyon ng sektor ng kalusugan sa buong mundo.

Kasama ang sumusunod, kasama ang mga pangunahing insight na nakuha mula sa data ng survey:
  • Nangungunang Limang Cyber ​​Threats Health Sector Organizations na Hinaharap noong 2024
  • Tinitingnan ng Top Five Cyber ​​Threats Health Sector Organizations sa 2025
  • Nangungunang Tatlong Hamon Ang mga Manufacturer ng Medical Device ay nag-ulat sa pagbuo ng mga secure na medikal na device
  • Nangungunang Tatlong Epekto sa Healthcare Delivery Organizations

Health ISAC 2025 Taunang Ulat sa Banta
Laki: 7.1 MB Format: PDF

Relatório Anual de Ameaças – 2025

2024 foi um ano desafiador em termos de segurança cibernética para sa mga sistema ng setor de saúde em todo o mundo.

anorama de Ameaças Cibernéticas OP do Setor de Saúde do Health-ISAC 2025 destaca uma escalada contínua de ataques cibernéticos. Bilang principais conclusões incluem um aumento nos ataques de ransomware, com tecnicas cada vez mais sofisticadas empregadas por agentes de ameaças.

O relatório também enfatiza a crescente ameaça de agentes estatais-nação e da ciberespionagem, visando e da ciberespionagem, visando dados sensíveis de pacientes e propriedade intellectual. Além disso, o surgimento de dispositivos de Internet das Coisas Médicas (IoMT) introduziu novas vulnerabilidades, enquanto o cenário de ameaças em evolução exige a adaptação contínua de medidas de segurança para sa organisasyon sa mundo ng mundo.

Inclui o seguinte, além de insights importantes extraídos dos dados da pesquisa:

  • As cinco principais ameaças cibernéticas enfrentadas pelas organizações do setor da saúde em 2024
  • As cinco principais ameaças cibernéticas que as organizações do setor da saúde estão enfrentando em 2025
  • Os três principais desafios relatados pelos fabricantes de dispositivos médicos no desenvolvimento de dispositivos médicos seguros
  • Os três principais impactos nas organizações de prestação de serviços de saúde

 

Kalusugan ISAC Setor De Saúde 2025 Panorama De Ameaças Cibernéticas
Laki: 2.6 MB Format: PDF

Ang Panganib sa Seguridad ng DeepSeek ay Isang Kritikal na Paalala Para sa Mga CIO

Sinulat ni Julia Annaloro on . Nai-post sa Health-ISAC, Sa balita.

Na-update noong Ene 31, 2025, 12:12 pm EST
 

Ang artikulong ito sa Forbes ay sumasaklaw sa mga sumusunod na paksa:

  • Mga Kritikal na Kakulangan sa Seguridad Sa Sistema ng DeepSeek
  • Turuan At Subaybayan
  • Pag-sign-Off sa Kontrata ng CIO
  • Magsanay ng Pagtugon sa Paglabag

Hinugot na quote ng Health-ISAC:

Ang mabilis na pagtugon ay lalong kritikal kapag nakikitungo sa mga paglabag na kinasasangkutan ng hindi suportadong teknolohiya. Ang kamakailang iminungkahi HIPAA Ang panuntunan ay nangangailangan ng mga organisasyon ng pangangalagang pangkalusugan na ibalik ang mga sistema sa loob ng 72 oras. Errol Weiss, ang punong opisyal ng seguridad sa Health-ISAC, sinabi nitong tatlong lugar sa ibaba ang susi.

  • Ang bilis ay mahalaga: Kung mas mabilis kang tumugon sa isang cyber incident, mas kaunting pinsala ang maaaring idulot ng attacker.
  • Sundin ang iyong plano sa pagtugon sa insidente: Kung mayroon kang paunang natukoy na plano sa pagtugon sa insidente, sundin itong mabuti.
  • Humingi ng tulong sa eksperto: Kung kulang ka sa in-house na kadalubhasaan, isaalang-alang ang pakikipag-ugnayan sa mga panlabas na propesyonal sa cybersecurity.

Basahin ang artikulo sa Forbes. Pindutin dito

Bulletin ng Banta: SimpleHelp RMM Software na Ginamit sa Pagsusubok na Pagsasamantala upang Labagin ang Mga Network

Sinulat ni Julia Annaloro on . Nai-post sa Health-ISAC, Mga Mapagkukunan at Balita, Banta ng Intelligence.

TLP WHITE –

Update sa Enero 30, 2025

Natukoy ng Health-ISAC, sa pakikipagtulungan ng AHA, ang mga tinangka at patuloy na pag-atake ng ransomware na posibleng dahil sa mga kahinaan ng software ng SimpleHelp remote monitoring and management (RMM). Batay sa potensyal na banta at epekto sa pangangalaga ng pasyente, ang AHA ay nakipagtulungan sa Health-ISAC upang matiyak na ang bulletin na ito ay malawak na ipinamamahagi sa sektor ng kalusugan.  
 
Lubos na inirerekumenda na ang lahat ng mga pagkakataon ng SimpleHelp application, lalo na sa loob ng mga organisasyon ng pangangalagang pangkalusugan, ay tukuyin at naaangkop na mga patch alinsunod sa gabay sa bulletin. Lubos ding inirerekomenda na tiyakin ng mga organisasyon ng pangangalagang pangkalusugan na ang lahat ng third-party at mga kasosyo sa negosyo na gumagamit ng SimpleHelp ay naglalapat din ng naaangkop na mga patch.

Enero 29, 2025

kamakailan lamang -uulat ay nagpapahiwatig na ang mga aktor ng pagbabanta ay nagsasamantala sa mga naka-patch na kahinaan sa SimpleHelp Remote Monitoring and Management (RMM) software upang makakuha ng hindi awtorisadong pag-access sa mga pribadong network. Ang mga kahinaang ito na sinusubaybayan bilang CVE-2024-57726, CVE-2024-57727, at CVE-2024-57728, ay natuklasan ng mga mananaliksik ng Horizon3 noong huling bahagi ng Disyembre 2024 at isiniwalat sa SimpleHelp noong Enero 6, na nag-udyok sa kumpanya na maglabas ng mga patch. Ang mga bahid ay publiko isiwalat pagkatapos mailabas ang mga patch noong Enero 13, 2025.

Itinatampok ng kampanyang ito ang kahalagahan ng pamamahala ng patch, dahil ang mga aktor ng pagbabanta ay gumagamit ng mga pagsasamantala sa loob ng isang linggo ng pampublikong pagsisiwalat. 

Ang mga kahinaan na natukoy sa SimpleHelp RMM ay maaaring magbigay-daan sa mga umaatake na manipulahin ang mga file at itaas ang mga pribilehiyo sa administratibo. Maaaring i-chain ng isang threat actor ang mga kahinaan na ito sa isang pag-atake upang makakuha ng administratibong access sa vulnerable na server at pagkatapos ay gamitin ang access na iyon upang ikompromiso ang device na nagpapatakbo ng vulnerable na SimpleHelp client software. 

TLPWHITE Cb3ee67f Simplehelp Rmm Software na Ginamit Sa Pagtatangkang Pagsasamantala Upang Labagin ang Mga Network
Laki: 139.4 kB Format: PDF

 

Ang Mga Potensyal na Banta sa Mga Executive ng Pangangalagang Pangkalusugan ay Kumakalat On-Line

Sinulat ni Julia Annaloro on . Nai-post sa Health-ISAC, Sa balita.

 

Kasunod ng kalunos-lunos na pamamaril sa CEO ng UnitedHealthcare sa New York City noong Disyembre 4, naglabas ng alerto ang Health-ISAC sa Mga Miyembro noong Disyembre 9 na tumutukoy sa labing-isang aksyong pag-iingat na dapat gawin ng mga organisasyon ng sektor ng kalusugan.

Nakatanggap ang Health-ISAC ng mga ulat ng maraming on-line na pag-post na nagbabanta sa mga executive sa loob ng sektor ng kalusugan. Natukoy ang mga forum bilang pinagmumulan ng mga banta na nagta-target sa mga CEO sa industriya ng pangangalagang pangkalusugan, partikular ang mga nangungunang kumpanya ng segurong pangkalusugan at mga kumpanya ng parmasyutiko. Ang Health-ISAC ay naglabas ng bulletin ng pagbabanta upang ipaalam sa pandaigdigang sektor ng kalusugan kung ano ang dapat malaman at magrekomenda ng mga hakbang sa pagpapagaan na dapat gawin kaagad ng mga organisasyon. Mangyaring basahin at ibahagi sa loob ng sektor ng kalusugan.

TLPWHITE Da2c7f6d Ang Mga Potensyal na Banta Sa Mga Executive ng Pangangalagang Pangkalusugan ay Kumakalat Sa Linya
Laki: 3.6 MB Format: PDF

 

Ang mga banta na ito, na mula sa pangkalahatang pananakot hanggang sa mga partikular na panawagan para sa karahasan, ay lumitaw pagkatapos ng kamakailang pagpatay sa isang CEO ng UnitedHealthcare. Mahalagang tandaan na ang may kagagawan ng kamakailang pagpaslang na ito ay hindi pa nahuhuli, at patuloy pa rin ang imbestigasyon sa mga posibleng motibo.

Bagama't hindi pa nabe-verify ang mga kumakalat na banta na ito, inirerekomenda ng Health-ISAC ang mas mataas na kamalayan sa seguridad sa mga executive ng healthcare at mas mahigpit na mga hakbang sa seguridad upang matiyak ang kaligtasan. 

Maaaring umabot sa cyber domain ang mga panawagan para sa karahasan, na humahantong sa mga hacktivists na magsagawa ng DDoS at iba pang nakakagambalang pag-atake sa sektor ng kalusugan. Inirerekomenda ng Health-ISAC na ang mga miyembro ay manatiling mapagbantay tungkol sa pag-iingat sa lahat ng imprastraktura at na ang mga organisasyon ay nagbabahagi ng anumang mga detalye na magagawa nila tungkol sa mga banta sa mga executive upang mapanatili natin ang kaalaman sa komunidad.

Ang Pagkolekta ng Cyber ​​Vulnerability Metrics ay Kritikal

Sinulat ni Julia Annaloro on . Nai-post sa Sa balita.

Ang Pagkolekta ng Mga Sukatan sa Pagkakahina sa Cyber ​​ay Kritikal, Ngunit Ang Pakikipag-ugnayan sa mga Ito sa Mga Stakeholder sa Malinaw at Nakakahimok na Paraan ay Susi, Sabi ng Ulat ng H-ISAC

Habang ang industriya ng pangangalagang pangkalusugan ay nagiging higit na umaasa sa magkakaugnay na mga digital system, ang kahalagahan ng matatag na pamamahala sa kahinaan ay hindi kailanman naging mas malinaw. Isang kamakailan ulat ng Health-ISAC, Mga Sukatan at Pag-uulat ng Kahinaan, nagbibigay-liwanag sa pinakamahuhusay na kagawian at estratehiya para palakasin ang cybersecurity sa mga sistema ng kalusugan.

Basahin ang buong artikulo sa HealthSystemCIO.com Pindutin dito

 

Patnubay para sa CTI sa isang Kahon

Sinulat ni Julia Annaloro on . Nai-post sa Health-ISAC, Mga Mapagkukunan at Balita, Puting papel.

Ang puting papel na ito ay nagpapakita ng pagsusuri ng isang survey na isinagawa sa mga Health-ISAC Members ng Cyber ​​Threat Intelligence (CTI) Program Development Working Group. Ang survey ay naglalayong magbigay ng mga kritikal na insight sa kasalukuyang estado ng mga programa ng CTI sa buong sektor ng kalusugan, na tumutukoy sa mga lakas at pagkakataon para sa paglago.

 

Layunin

Ang mga resulta ng survey ay naging instrumento sa paggabay sa mga pagsisikap ng Working Group na bigyang-priyoridad ang mga maihahatid na mataas ang halaga at pagyamanin ang pakikipagtulungan sa loob ng komunidad ng Health-ISAC. Ang mga natuklasang ito ay nagbigay-alam sa pagbuo ng mga praktikal na mapagkukunang idinisenyo upang suportahan at isulong ang mga inisyatiba ng CTI.

Key Findings

Ang papel ay nagsasaliksik 9 key findings mula sa survey, na direktang nakaimpluwensya sa paglikha ng mga mapagkukunan at tool na iniayon sa mga pangangailangan ng mga miyembro ng Health-ISAC. Ang mga natuklasang ito ay nagsisilbing pundasyon para sa isang makabagong resource suite na pinangalanan CTI sa isang Kahon. Ang komprehensibong mapagkukunang ito ay nag-aayos ng mahahalagang kasangkapan, estratehiya, at pinakamahuhusay na kagawian upang bigyang kapangyarihan ang mga Miyembro ng Health-ISAC sa pagpapalakas ng kanilang mga programa sa CTI. Maaaring ma-access ng mga miyembro CTI sa isang Kahon sa pamamagitan ng Health-ISAC Threat Intelligence Portal (H-TIP).

 

Pindutin dito

Magpatuloy sa pagbabasa

Inilunsad ng Cyware ang Threat Intelligence Platform upang Ipagtanggol ang mga Healthcare Organization mula sa mga Cyber ​​Threats

Sinulat ni Julia Annaloro on . Nai-post sa Health-ISAC, Sa balita.

Isang Industry-Tuned Threat Intelligence Platform upang Ipagtanggol ang mga Healthcare Organization mula sa Cyber ​​Threats

Ang solusyong ginawa ng layunin ay nagbibigay-daan sa mga team ng seguridad sa pangangalagang pangkalusugan na may mga feed ng pagbabanta na partikular sa pangangalaga sa kalusugan at mga kakayahan sa awtomatikong pagtugon.

Pagbanggit ng media:

Errol Weiss, Chief Security Officer sa Health-ISAC at customer ng Cyware, ipinahayag ang kritikal na pangangailangan para sa inobasyong ito: “Ang pangangalaga sa kalusugan ay isa sa mga pinaka-target na sektor ng mga cybercriminal. Ang pagkakaroon ng threat intelligence platform na partikular na idinisenyo para sa aming industriya ay magbibigay-daan sa mga organisasyon ng pangangalagang pangkalusugan na mabilis na ma-access ang mga nauugnay, naaaksyunan na mga insight na maaaring gumawa ng makabuluhang pagkakaiba sa pagtatanggol laban sa mga sopistikadong pag-atake."

Rachel James, miyembro ng Health-ISAC Threat Intelligence Committee, nabanggit, "Sa isang kapaligiran kung saan ang oras ay kritikal, ang mga pangkat ng seguridad sa pangangalagang pangkalusugan ay nangangailangan ng mga tool na nagbibigay-daan sa kanila na gumawa ng higit pa sa mas kaunting pagsisikap ngunit may higit na katumpakan. Ang Healthcare Threat Intelligence Platform ng Cyware ay idinisenyo upang mabilis na matukoy at tumugon sa mga banta na partikular sa pangangalagang pangkalusugan, na nagbibigay ng kapangyarihan sa mga organisasyon na manatiling nangunguna sa mga pag-atake nang hindi nalulula sa pagiging kumplikado."

Basahin ang buong press release sa BusinessWire:

Pindutin dito

Mga Sukatan at Pag-uulat ng Kahinaan

Sinulat ni Julia Annaloro on . Nai-post sa Health-ISAC, Puting papel.

Isang puting papel na inilathala ng Health-ISAC's Vulnerability Management Working Group

Sa laging nakakonektang mundo ngayon, ang pamamahala sa kahinaan ay isang prosesong batayan para sa lahat ng organisasyon. Ang mga sukatan at pag-uulat ay may mahalagang papel sa pagsubaybay sa mga serbisyong ibinibigay namin, pagpapatupad ng mga kakayahan sa pag-detect, at mga pagsisikap sa remediation ng mga application o mga team ng teknolohiya. Ang mabisang pagkukuwento gamit ang mga sukatan at pag-uulat ay maaaring makatulong na ipakita ang mga pagpapabuti o ang pagiging epektibo ng aming mga tauhan ng suporta sa teknolohiya. Ang pangkat ng pamamahala ng kahinaan ay dapat magkaroon ng sistema ng pagmamarka upang ipakita ang mga timeline ng remediation ng organisasyon.

Mga Sukat at Pag-uulat ng Kahinaan (1)
Laki: 2.3 MB Format: PDF