H-ISAC Hacking Chăm sóc sức khỏe 2-9-2021

TLP White: Tuần này, Hacking chăm sóc sức khỏe bắt đầu bằng một cái nhìn khác về ransomware. Cụ thể, chúng tôi phân tích các xu hướng nổi lên trong suốt năm qua, dữ liệu từ quý cuối cùng của năm 2020 và những gì nó cho chúng ta biết về hướng đi của mọi thứ, và lý do tại sao ransomware trở nên kém sinh lợi hơn đối với tội phạm mạng thực sự có thể gây hại cho ngành chăm sóc sức khỏe. Chúng tôi kết thúc bằng cách phân tích một 'mối đe dọa' mạng phi truyền thống có khả năng gây hại cho việc triển khai tiêm chủng và lý do tại sao các giải pháp có thể không dễ dàng tìm thấy.

Xin nhắc lại, đây là phiên bản công khai của blog Hacking Healthcare. Để có thêm phân tích chuyên sâu và ý kiến, hãy trở thành thành viên của H-ISAC và nhận phiên bản TLP Amber của blog này (có trong Cổng thông tin thành viên).

Chào đón trở lại Hacking chăm sóc sức khỏe.

1. Đánh giá về Ransomware năm 2020

Có vẻ như chắc chắn rằng ransomware sẽ tiếp tục là một tai họa vào năm 2021, nhưng một số thông tin mới công bố cho thấy các phương pháp và chiến thuật đang phát triển sẽ giúp đảm bảo tình hình sẽ vẫn ổn định. Một số báo cáo gần đây đã giúp đưa quy mô của vấn đề vào bối cảnh và tác động quá lớn mà ransomware gây ra đối với ngành chăm sóc sức khỏe không có gì đáng ngạc nhiên. Có một số thông tin đáng chú ý từ dữ liệu này, bao gồm tin tức có khả năng khích lệ cho thấy các cuộc tấn công ransomware đang trở nên ít sinh lợi hơn đối với thủ phạm. Tuy nhiên, phần phân tích của chúng tôi sẽ khám phá lý do tại sao điều đó có thể không báo hiệu lợi ích cho ngành chăm sóc sức khỏe.

Đậy nút lại

Trước tiên, hãy cùng tóm tắt nhanh tình hình hiện tại. Những thách thức mà ngành chăm sóc sức khỏe phải đối mặt là rất lớn trong năm qua và tội phạm mạng chắc chắn không giúp việc đối phó với COVID-19 trở nên dễ dàng hơn. VMware Carbon Black đã báo cáo 239.4 triệu nỗ lực tấn công mạng nhằm vào riêng các khách hàng chăm sóc sức khỏe của mình vào năm 2020, lên đến đỉnh điểm là số liệu thống kê gần như không thể tin được rằng "các tổ chức chăm sóc sức khỏe đã chứng kiến ​​816 cuộc tấn công trên mỗi điểm cuối vào năm ngoái, tăng 9,851 phần trăm đáng kinh ngạc so với năm 2019".[1] Thông tin này được đưa ra chỉ vài tuần sau khi công ty an ninh mạng Emsisoft báo cáo rằng ít nhất 560 cơ sở cung cấp dịch vụ chăm sóc sức khỏe đã bị phần mềm tống tiền tấn công vào năm 2020.[2]

Đáng buồn thay, ransomware phổ biến nhất tấn công vào lĩnh vực chăm sóc sức khỏe có vẻ là Cerber. Tràn lan vào năm 2017, Cerber đã giảm đáng kể vào năm 2018, trước khi bùng nổ trở lại vào năm ngoái và chiếm 58% các cuộc tấn công ransomware vào khách hàng trong lĩnh vực chăm sóc sức khỏe của VMware Carbon Black.[3] Trong khi Carbon Black lưu ý rằng Cerber đã trải qua các bản cập nhật và điều chỉnh, một số thành công của biến thể này trong năm 2020 gần như chắc chắn có liên quan đến các lỗ hổng chưa được vá, một lần nữa làm nổi bật thêm khó khăn về an ninh mạng trong lĩnh vực chăm sóc sức khỏe.[4]

Một dấu hiệu tích cực với tiềm năng nguy hiểm

Kết thúc với tin tốt lành, công ty ứng phó và phục hồi ransomware Coveware đã phát hành Báo cáo Ransomware hàng quý cho quý 4 năm 2020 vào thứ Hai tuần trước. Điểm đáng chú ý nhất có vẻ là báo cáo của họ rằng các khoản thanh toán ransomware đã giảm đáng kể. Theo số liệu của họ, khoản thanh toán ransomware trung bình đã giảm khoảng 34% so với quý 3 năm 2020, xuống còn 154,108 đô la từ 233,817 đô la.[5] Ngoài ra, số tiền thanh toán trung bình cho phần mềm tống tiền trong quý 4 thậm chí còn giảm mạnh hơn, khoảng 55%, từ 49,450 đô la xuống còn 110,532 đô la.[6]

Trước báo cáo mới nhất này, Coveware đã từng báo cáo mức tăng ổn định về số tiền thanh toán trung bình và trung vị từ phần mềm tống tiền kể từ quý 4 năm 2018.[7] Coveware cho rằng sự suy giảm gần đây một phần là do sự xói mòn lòng tin rằng những kẻ tấn công ransomware đánh cắp dữ liệu thực sự sẽ xóa dữ liệu đó sau khi nhận được tiền chuộc. Nhiều ví dụ về dữ liệu "đã xóa" được bán lại trên thị trường chợ đen hoặc được sử dụng để bắt giữ một tổ chức đòi tiền chuộc lần thứ hai đã thay đổi phép tính rủi ro cho các nạn nhân ransomware.

Mặc dù báo cáo đầy đủ có nhiều thông tin hơn, một vài lưu ý thú vị đã thu hút sự chú ý của chúng tôi. Đầu tiên, email lừa đảo tiếp tục tăng lên như một vectơ tấn công, phá vỡ mốc 50% và vượt qua sự xâm phạm RDP. Thứ hai, khoảng 70% các cuộc tấn công ransomware trong Q4 liên quan đến mối đe dọa rò rỉ dữ liệu đã đánh cắp, tăng 20 điểm phần trăm so với Q3.[8] Hơn nữa, Coveware báo cáo rằng những kẻ xấu thậm chí còn "bịa đặt việc đánh cắp dữ liệu trong những trường hợp mà việc đó không hề xảy ra". Tuy nhiên, thông tin đáng lo ngại nhất có thể là báo cáo của Coveware về sự gia tăng "tỷ lệ hủy dữ liệu không thể phục hồi so với việc chỉ hủy dữ liệu sao lưu hoặc mã hóa các hệ thống quan trọng".[9]

Hành động & Phân tích

**Yêu cầu phải là thành viên**

2. Chăm sóc sức khỏe phải đối mặt với 'mối đe dọa' mạng phi truyền thống

Trong khi các nhóm CNTT và an ninh mạng trong lĩnh vực chăm sóc sức khỏe đang phải đối mặt với thách thức to lớn là duy trì quyền riêng tư và bảo mật cho mạng lưới và dữ liệu của họ trước đủ loại mối đe dọa truyền thống từ nhà nước và phi nhà nước, thì có thể có một thách thức kỹ thuật phi truyền thống khác mà các kỹ năng của họ có thể hữu ích.

Trong nỗ lực tiêm chủng cho toàn bộ các quốc gia, các tổ chức chăm sóc sức khỏe đang phải đối mặt với nhiệm vụ hành chính và hậu cần chưa từng có là sắp xếp các cuộc hẹn cho bệnh nhân trong khi vẫn cố gắng hạn chế tối đa việc lãng phí các liều vắc-xin quý giá. Để hỗ trợ cho nỗ lực này, nhiều tổ chức đã sử dụng một số hình thức cổng thông tin trực tuyến hoặc trình lập lịch. Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) thậm chí đã ban hành thông báo về quyền quyết định thực thi đối với Ứng dụng lập lịch trực tuyến hoặc trên web.[10] Thật không may, những người lập lịch trình này đã trở thành nạn nhân của các cuộc tấn công 'bot' do những kẻ đầu cơ dàn dựng.

Theo Reuters, “Các nhà bán lẻ và hiệu thuốc tại Hoa Kỳ như Walgreens và CVS Health đang chuẩn bị cho một đợt tấn công “bot” mới của những kẻ đầu cơ hy vọng giành được các cuộc hẹn tiêm vắc-xin COVID-19”.[11] Mặc dù hành vi này quen thuộc với bất kỳ ai đang cố gắng mua các mặt hàng có số lượng hạn chế, như tiện ích công nghệ mới nhất hoặc vé sự kiện thể thao, cả hai trường hợp đó đều dễ dàng được phân loại là phiền toái. Không thể nói như vậy nếu hành vi như vậy bắt đầu ảnh hưởng đáng kể đến việc triển khai tiêm chủng.

Theo Reuters, “[trong] những tuần gần đây, mọi người đã chia sẻ trên mạng xã hội những câu chuyện kinh dị về việc cố gắng đảm bảo các cuộc hẹn tiêm chủng từ các nguồn chính phủ, một số người đổ lỗi cho bot gây ra sự cố sập trang web và đánh cắp các suất tiêm chủng.” Cả Walgreens và CVS đều cho biết họ đã nhận thức được vấn đề này và đã thiết lập nhiều biện pháp phòng vệ để phát hiện và ngăn ngừa.

Hành động & Phân tích
**Yêu cầu phải là thành viên**

Quốc hội –

Thứ ba, tháng hai 9th:

– Không có phiên điều trần có liên quan

Thứ Tư, Tháng Hai 10th:

– Hạ viện – Phiên điều trần của Ủy ban An ninh Nội địa: An ninh mạng nội địa: Đánh giá các mối đe dọa mạng và xây dựng khả năng phục hồi

Thứ năm, tháng hai 11th:

– Không có phiên điều trần có liên quan

Quốc Tế Phiên điều trần/Cuộc họp –

– Không có phiên điều trần có liên quan

EU -

– Không có phiên điều trần có liên quan

Đồ lặt vặt –

Hội nghị, Hội thảo trên web và Hội nghị thượng đỉnh –       

https://h-isac.org/events/

Liên hệ với chúng tôi: theo dõi @HealthISAC và gửi email tới contact@h-isac.org

[1] https://healthitsecurity.com/news/70-ransomware-attacks-cause-data-exfiltration-phishing-top-entry-point

[2] https://healthitsecurity.com/news/560-healthcare-providers-fell-victim-to-ransomware-attacks-in-2020

[3] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[4] https://www.zdnet.com/article/this-old-form-of-ransomware-has-returned-with-new-tricks-and-new-targets/

[5] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[6] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[7] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[8] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[9] https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020

[10] https://www.hhs.gov/sites/default/files/hipaa-vaccine-ned.pdf

[11] https://www.reuters.com/article/us-health-coronavirus-scalpers-focus-idUSKBN2A524S

• Tài nguyên liên quan & Tin tức