Перейти до основного матеріалу

Health-ISAC Hacking Healthcare 6-15-2021

TLP White: Цього тижня, Злом охорони здоров'я присвячена збиранню та аналізу вихору останніх розробок програм-вимагачів як у державному, так і в приватному секторах. Окрім аналізу того, що відбувається, ми цитуємо нові вказівки та рекомендації та висловлюємо свої думки про те, наскільки ці розробки були корисними чи некорисними у вирішенні проблеми програм-вимагачів.

Нагадуємо, що це публічна версія блогу Hacking Healthcare. Для додаткового поглибленого аналізу та думки приєднайтеся до H-ISAC і отримайте TLP Amber версію цього блогу (доступну на порталі для учасників).

 

Ласкаво просимо до Злом охорони здоров'я.

 

1. Введення

Програми-вимагачі без проблем залишалися в центрі уваги, оскільки гучні інциденти продовжували зростати протягом останніх кількох тижнів. Урядові органи та організації приватного сектору намагаються вирішити цю дедалі жахливішу ситуацію, і швидкість, з якою розвивається загальна ситуація, дозволяє легко пропустити критичні події. З огляду на це ми присвятили цей випуск Злом охорони здоров'я до вивчення останніх розробок програм-вимагачів, оцінки їх впливу на приватний сектор і виділення ряду рекомендацій, які члени H-ISAC можуть вважати цінними.

 

Відповідь уряду

 

Ми починаємо з адміністрації Байдена. Адміністрація зробила кібербезпеку пріоритетною проблемною сферою та не знайшла браку в критичних інцидентах кібербезпеки, на які потрібно реагувати. Незважаючи на те, що час збігся з атакою програм-вимагачів Colonial Pipeline, нещодавні виконавчі розпорядження адміністрації щодо російського втручання, викликів у ланцюжках поставок і кібербезпеки, які стосуються кіберпрограм, були розроблені в основному як відповідь на попередні інциденти, такі як SolarWinds, і меншою мірою зосереджені на проблемі програм-вимагачів. . Однак за останні кілька тижнів адміністрація Байдена зробила численні кроки для боротьби з невпинною хвилею програм-вимагачів.

 

Міністерство юстиції

 

Міністерство юстиції (DOJ) було особливо активно в цій сфері.

 

Вимірювальна робоча група: Як ми коротко згадували в попередньому випуску, наприкінці квітня було опубліковано внутрішній меморандум Міністерства юстиції, у якому оголошувалося про створення робочої групи з розслідування програм-вимагачів. У записці визнається, що програми-вимагачі становлять не лише зростаючу економічну загрозу, але й загрозу здоров’ю та безпеці американських громадян.[1] Повідомлялося, що цей меморандум сприятиме покращенню обміну розвідданими між Міністерством юстиції, створенню стратегії, спрямованої на всі аспекти екосистеми програм-вимагачів, і більш проактивному підходу в цілому.[2]

 

Підвищення рівня програм-вимагачів: Вищезазначена стратегія та підхід були частково оприлюднені на початку червня, коли було повідомлено, що було розповсюджено подальші внутрішні вказівки Міністерства юстиції, згідно з якими розслідування атак програм-вимагачів мають такий же пріоритет, як тероризм.[3] Цей крок вимагає, щоб випадки та розслідування програм-вимагачів координувалися централізовано з робочою групою програм-вимагачів у Вашингтоні, округ Колумбія, щоб забезпечити найкраще розуміння та оперативну картину для різних зацікавлених сторін, залучених до інцидентів програм-вимагачів.

 

Повернення викупу: Коли компанія Colonial Pipeline сплатила вимогу викупу в біткойнах, багато хто припустив, що зловмисники й гроші так само зникли. Однак операція під керівництвом ФБР змогла вилучити 2.3 мільйона доларів у біткойнах, виплачених як викуп.[4] ФБР нібито відстежувало переміщення коштів за викуп у загальнодоступній книзі біткойнів, а потім отримало доступ до віртуального рахунку, де опинилася більша їх частина.[5]

 

US CYBERCOM

 

Крім Міністерства юстиції, кіберкомандування США (CYBERCOM), місія якого полягає у «спрямуванні, синхронізації та координації планування та операцій у кіберпросторі – для захисту та просування національних інтересів – у співпраці з внутрішніми та міжнародними партнерами», також відіграє певну роль у реагування на загрози програм-вимагачів.[6]

 

Слух: Минулої п’ятниці під час віртуального слухання генерал Накасоне, який одночасно є головою CYBERCOM і директором АНБ, відмовився від необхідності нових органів влади для боротьби з кіберзлочинними групами.[7] Він заявив, що, на його думку, у нього є «всі повноваження, які мені потрібні, щоб мати можливість переслідувати цих ворогів за межами Сполучених Штатів за допомогою розвідки».[8] Однак, зокрема, говорячи про програми-вимагачі, він передав, що справжня проблема, над якою працює адміністрація Байдена, полягає в тому, як ділитися та координувати розвідувальні дані та дії з різними державними та приватними зацікавленими сторонами, а також визначати, хто бере на себе лідерство в цілому. зусилля. [9]

 

DHS

 

Рекомендації – CISA: зростаюча загроза програм-вимагачів для активів OT: Підвищена важливість програм-вимагачів також призвела до публікації додаткових вказівок від уряду, зокрема інформаційного бюлетеня CISA під назвою, Зростання загрози програм-вимагачів для операційних технологічних активів.[10] Тристорінковий документ містить огляд загрози програм-вимагачів, зокрема активів OT, а потім описує дії, які організації повинні вжити, щоб підготуватися до програм-вимагачів, пом’якшити їх і реагувати на них.

 

Розвиток приватного сектора

 

За останні тижні також відбулося кілька помітних розробок програм-вимагачів, які стосуються приватного сектору. На жаль, ці події були більше негативними, ніж позитивними. Резонансні атаки програм-вимагачів продовжують призводити до виплат багатомільйонних викупів, і Конгрес США дуже критично ставиться до того, як приватний сектор реагує на інциденти.

 

IST Ransomware Task Force (RTF): RTF, група з приблизно 60 експертів як з державного, так і з приватного секторів, опублікувала 81-сторінковий звіт, який містить детальну та ретельну структуру для боротьби з програмами-вимагачами.[11] Цей документ має допомогти ознайомити людей з нюансами програм-вимагачів, а також запропонувати практичні та дієві політичні дії.

 

Об’єднаний Інститутом безпеки та технологій (IST), RTF включає представників великих технологічних компаній, таких як Microsoft і Amazon; організації з кібербезпеки, такі як Rapid7, Palo Alto Networks, Коаліція кібербезпеки, Альянс кіберзагроз і Глобальний кіберальянс; і державні організації, такі як Національний центр кібербезпеки Великобританії (NCSC) і Агентство з кібербезпеки та безпеки інфраструктури США (CISA).

 

 

JBS & CNA: JBS, один із найбільших м’ясопереробників у Сполучених Штатах, нещодавно став одним із наступних гучних інцидентів з програмами-вимагачами після Colonial Pipeline. Атака мала масштабний вплив, оскільки, як повідомляється, постраждали операції JBS в Австралії, Канаді та США.[12] Зрештою JBS заплатила викуп у розмірі приблизно 11 мільйонів доларів з наміром переконатися, що зловмисники не викрадають дані компанії.[13]

 

Однак цей платіж тьмяний у порівнянні з майже 40 мільйонами доларів, які, як повідомляється, виплатила страхова організація CNA Financial Corp., щоб «відновити контроль над своєю мережею після атаки програм-вимагачів».[14] Хоча цей напад, здається, стався в березні, подробиці виплати викупу стали публічними лише наприкінці травня.

 

Конгрес висловлює несхвалення: На слуханнях у Конгресі минулого тижня законодавці неодноразово спілкувалися з генеральним директором Colonial Pipeline Джозефом Блантом щодо того, як вони відреагували на інцидент з програмами-вимагачами. Деякі законодавці стверджували, що компанія Colonial Pipeline відмовила в добровільній перевірці кібербезпеки Управлінням транспортної безпеки, а представник конгресмену Бонні Уотсон Коулман (D) заявила: «Затримка цих оцінок на такий тривалий час означає їх відмову, сер».[15] Інші не погодилися з рішенням трубопроводу не звертатися негайно до DHS і CISA або приймати їхню допомогу в операціях з відновлення.[16] Кілька членів Конгресу зайшли так далеко, що поставили під сумнів, чи все ще прийнятні добровільні стандарти кібербезпеки та підхід «без рук» до критичної інфраструктури.[17]

 

Дія та аналіз
**Потрібне членство**

 

 

Конгрес -

 

Вівторок, червень 15th:

– Відповідних слухань немає

 

Середа, червень 16-й:

– Сенат – Комітет з внутрішньої безпеки та урядових справ: ділове засідання для розгляду кандидатур Джен Істерлі на посаду директора Агентства з кібербезпеки та безпеки інфраструктури Департаменту внутрішньої безпеки та Кріса Інгліса на посаду національного кібердиректора.

 

-Палата представників – Комітет з внутрішньої безпеки: кіберзагрози в стадії розробки: уроки федеральної відповіді на атаку програм-вимагачів Colonial Pipeline

 

Четвер, 17 червня:

– Відповідних слухань немає

 

Міжнародне покриття Слухання/зустрічі -

– Відповідних зустрічей немає

 

ЄС -

 

 

 

Конференції, вебінари та саміти –

 

 

https://h-isac.org/events/

 

Зв’яжіться з нами: підпишіться на @HealthISAC і надішліть електронний лист на contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Пов’язані ресурси та новини