Health-ISAC Hacking Healthcare 9-9-2021

TLP White: Цього тижня, Злом охорони здоров'я починається з висвітлення повідомлення про новий проект кібербезпеки телемедицини Національного інституту стандартів і технологій (NIST), який наразі відкритий для коментарів галузі. Далі ми коротко розглянемо нове дослідження кібербезпеки в секторі охорони здоров’я, яке підкреслює, що зловмисники все частіше націлюються на невеликі амбулаторні та спеціалізовані клініки. Потім ми розбираємо, як незадоволена філія з програмами-вимагачами розповсюдила підручник із програмами-вимагачами та що дослідники безпеки почерпнули, досліджуючи це. Нарешті, ми завершуємо звіт про внутрішні загрози та звертаємо увагу на необхідність міжвідомчої співпраці для ефективного подолання таких загроз.

Нагадуємо, що це публічна версія блогу Hacking Healthcare. Для додаткового поглибленого аналізу та думки приєднайтеся до H-ISAC і отримайте TLP Amber версію цього блогу (доступну на порталі для учасників).

Ласкаво просимо до Злом охорони здоров'я.

Версія PDF:

Переглянути PDF

Текстова версія:

1. NIST випускає проект проекту кібербезпеки телездоров’я

Національний центр передового досвіду NIST (NCCoE) опублікував новий проект проекту під назвою Зменшення ризиків для кібербезпеки в інтеграції розумного дому з телемедициною.[1] Визнаючи, що технологія телемедицини розвинулася разом з IoT настільки, що люди тепер часто використовують споживчі пристрої IoT для доступу та взаємодії з інформацією про своє здоров’я, NIST прагне створити вказівки, які допоможуть підвищити безпеку домашнього середовища та мереж. через які відбуваються такі взаємодії.

21-сторінковий проект буде використано, щоб допомогти «подальше визначити вимоги до проекту, обсяг, а також компоненти апаратного та програмного забезпечення для використання в лабораторному середовищі», і NIST шукає коментарі від зацікавлених сторін, щоб краще сформувати проект у майбутньому. Бажаючі повинні надіслати коментарі до 4 жовтня^th.[2]^{, [3]}

2. Амбулаторні та спеціалізовані клініки стають все більш цільовими

Новий звіт Critical Insight, постачальника керованих ІТ-послуг для охорони здоров’я, привертає увагу до нападів зловмисників на амбулаторні установи та спеціалізовані клініки. Їхній аналіз першої половини 2021 року викликає кілька цікавих запитань і повторює деякі припущення щодо кібератак у секторі охорони здоров’я та зловмисників, які їх здійснюють.

23-сторінковий Звіт про порушення системи охорони здоров’я за січень-червень 2021 р досліджує, кого в секторі охорони здоров’я порушують і як сектор охорони здоров’я стає ціллю.[4] Мабуть, найцікавішим висновком у звіті є те, що «амбулаторні установи та спеціалізовані клініки були порушені майже так само, як лікарні в першому півріччі 1 року».[5]

Critical Insight зазначає, що для зловмисників природно націлюватися на організації зі слабшим захистом, а менші амбулаторні та спеціалізовані організації зазвичай не мають можливості витрачати стільки на кібербезпеку, скільки великі лікарняні системи.[6] Це робить ці невеликі організації особливо привабливими цілями, оскільки дані про охорону здоров’я регулярно займають перше місце в чартах як найцінніші для злочинців і найдорожчі для жертв. Ті самі причини підвищеного кіберризику, ймовірно, стосуються бізнес-партнерів, як визначено HIPAA, оскільки у звіті зазначено, що на них припадає 43% порушень системи охорони здоров’я, що є «продовженням 3-річної тенденції до зростання».[7]^{, [8]}

Дія та аналіз
**Потрібне членство**

3. Збірник програм-вимагачів розливає секрети Конті

З нашого відділу «Серед злодіїв немає честі» ми повідомляємо, що минулого місяця філія групи програм-вимагачів Conti злила інформацію про власну інфраструктуру групи та 113 МБ інструментів і навчальних документів.[9] За непідтвердженими повідомленнями, особа, про яку йде мова, оприлюднила документи в якості помсти після того, як її забанили Conti за те, що вона перетягнула бізнес в іншу групу.[10] Відтоді російськомовні документи було перекладено, і тепер вони дають змогу зрозуміти, як дочірні компанії Conti мають діяти.

За даними Bleeping Computer, неназваний дослідник безпеки стверджував, що файли містили «посібник із розгортання Cobalt Strike, mimikatz для скидання хешів NTLM і численні інші текстові файли, заповнені різними командами».[11] Згодом інші дослідники підтвердили, що документи добре збігаються з відомими методами та атаками Conti, що, ймовірно, підтверджує їх законність.[12]

Віталій Кремез, генеральний директор Advanced Intel і самоназваний етичний хакер, сказав Bleeping Computer, що «ці наслідки величезні й дозволяють новим операторам пентестерів-вимагачів підвищити свої навички пентестерів», і що «[т]е витік також показує зрілість їхньої організації програм-вимагачів і те, наскільки вони витончені, прискіпливі та досвідчені».[13]

Нещодавно дослідники Cisco Talos надали оновлений і виправлений переклад документів.[14] Огляд нового перекладу підтверджує ретельність інструкцій до того, що «деякі зловмисники, які зовсім не знайомі зі зловмисним програмним забезпеченням, можуть слідувати цій ігре, щоб скомпрометувати велику корпоративну мережу з відносно невеликим досвідом».[15] Крім того, Cisco Talos заявив, що документи «відображають знайомство з корпоративними мережевими середовищами, наприклад, де розташовані цінні активи та як до них отримати доступ. Це особливо вірно для американських і європейських мереж, які, як вони відзначають, мають розширену документацію, яка забезпечує легше націлювання».[16]

Дії та аналіз
**Потрібне членство**

4. Не забувайте про внутрішні загрози

Наскільки ви готові до внутрішніх загроз? Згідно з новим дослідженням Інституту Ponemon, яке спонсорує компанія з кібербезпеки DTEX Systems, є хороші шанси, що у вас є можливості для вдосконалення.

Посилаючись на нещодавні повідомлення про порушення даних та резонансні інциденти в Tesla та Verkada як «[демонструючи] потребу в додатковій освіті щодо того, як ідентифікувати та зменшувати ризики, пов’язані з внутрішніми загрозами», Ponemon Institute провів опитування 1,249 ІТ та ІТ-безпеки. професіоналів у Північній Америці, Західній Європі та Австралії/Новій Зеландії.[17] Отриманий 6-сторінковий звіт, Стан інсайдерських загроз 2021: поведінкова обізнаність і видимість залишаються невловимими, підкреслює складність адекватного захисту від внутрішніх загроз.

У звіті вказується, що організації можуть зробити більше, і що багато хто «не бачать ранніх ознак внутрішньої загрози та бажаного результату чи наміру зловмисників».[18] Згідно з Понемоном, «переважна більшість загроз безпеці слідують шаблону або послідовності дій, що призвели до атаки, і внутрішні загрози не є винятком». Таким чином, DTEX запропонував Інсайдерська загроза Kill Chain що, на їхню думку, допомагає сформувати переважну більшість внутрішніх загроз.

Відповідно до DTEX п’ятиетапний ланцюжок знищення включає:

• • • Розвідка – включати дослідження, де знаходяться корисні дані, і тестування заходів безпеки
    • Обхід – включає спроби обійти заходи безпеки
    • Агрегація – включає агрегацію даних у місці для вилучення
    • Обфускація – включає спроби приховати зловмисну ​​діяльність
    • Ексфільтрація – щоб включити маршрути для ексфільтрації даних

Через цю призму звіту зазначено, що 49% організацій вважають розпізнавання зловмисної розвідки дуже складним або неможливим для виявлення. Цей рівень складності також поширюється на розпізнавання попереджувальних знаків у обході (47%), агрегації (53%), обфускації (42%) та ексфільтрації (40%).[19] Звіт завершується рекомендаціями організаціям щодо покращення стану безпеки, усунення прогалин у засобах контролю та практиках моніторингу та призначення найвищого органу влади для вирішення цього типу ризику. Звіт є у вільному доступі для тих, хто зацікавлений у його ознайомленні.

Дія та аналіз

Конгрес -

Вівторок, вересень 7th:

– Відповідних слухань немає

Середа, вересень 8th:

– Відповідних слухань немає

Четвер, 9 вересня:

– Відповідних слухань немає

Міжнародне покриття Слухання/зустрічі -

– Відповідних зустрічей немає

ЄС -

Четвер, 9 вересня:

– Європейський парламент: Комітет з навколишнього середовища, громадського здоров’я та безпеки харчових продуктів – засідання комітету

Конференції, вебінари та саміти –

https://h-isac.org/events/

Зв’яжіться з нами: підпишіться на @HealthISAC і надішліть електронний лист на contact@h-isac.org

[1] https://www.nccoe.nist.gov/sites/default/files/library/project-descriptions/hit-shi-project-description-draft.pdf

[2] https://www.nccoe.nist.gov/webform/comments-draft-project-description-mitigating-cybersecurity-risk-telehealth-smart-home

[3] https://content.govdelivery.com/accounts/USNIST/bulletins/2ee5ab0

[4] https://cybersecurity.criticalinsight.com/2021_healthcare_data_breach_report

[5] https://cybersecurity.criticalinsight.com/2021_healthcare_data_breach_report

[6] https://cybersecurity.criticalinsight.com/2021_healthcare_data_breach_report

[7] https://www.hhs.gov/hipaa/for-professionals/privacy/guidance/business-associates/index.html

[8] https://cybersecurity.criticalinsight.com/2021_healthcare_data_breach_report

[9] https://www.bleepingcomputer.com/news/security/angry-conti-ransomware-affiliate-leaks-gangs-attack-playbook/

[10] https://www.bleepingcomputer.com/news/security/angry-conti-ransomware-affiliate-leaks-gangs-attack-playbook/

[11] https://www.bleepingcomputer.com/news/security/angry-conti-ransomware-affiliate-leaks-gangs-attack-playbook/

[12] https://www.bleepingcomputer.com/news/security/angry-conti-ransomware-affiliate-leaks-gangs-attack-playbook/

[13] https://www.bleepingcomputer.com/news/security/angry-conti-ransomware-affiliate-leaks-gangs-attack-playbook/

[14] https://www.bleepingcomputer.com/news/security/translated-conti-ransomware-playbook-gives-insight-into-attacks/

[15] https://blog.talosintelligence.com/2021/09/Conti-leak-translation.html

[16] https://blog.talosintelligence.com/2021/09/Conti-leak-translation.html

[17] https://www2.dtexsystems.com/ponemon-state-insider-threats-2021-report

[18] https://www2.dtexsystems.com/ponemon-state-insider-threats-2021-report

[19] https://www2.dtexsystems.com/ponemon-state-insider-threats-2021-report

• Пов’язані ресурси та новини
• Health-ISAC Hacking Healthcare 4-14-2026
• Mythos та подібні інструменти штучного інтелекту підвищують ставки для кібернетичної охорони здоров'я
• Лікарня Массачусетсу відмовляється від карет швидкої допомоги після кібератаки
• Подкаст: Філ Енглерт про кібербезпеку медичних виробів
• Внутрішня загроза знову зростає
• «Втрачена можливість»: відсутність уряду США на конференції RSAC залишає разючу порожнечу
• Health-ISAC Hacking Healthcare 3-26-2026
• Health-ISAC Hacking Healthcare 3-19-2026
• Щомісячний інформаційний бюлетень Health-ISAC – квітень 2026 р.
• Звіт після дій: Серія навчань Health-ISAC щодо стійкості 2025 року