Bỏ qua nội dung chính

Health-ISAC Hacking Chăm sóc sức khỏe 6-15-2021

TLP White: Tuần này, Hacking chăm sóc sức khỏe chuyên tập hợp và phân tích cơn lốc các diễn biến gần đây của ransomware trong cả khu vực công và tư. Ngoài việc phân tích những gì đã xảy ra, chúng tôi còn trích dẫn hướng dẫn và khuyến nghị mới và đưa ra suy nghĩ của chúng tôi về cách các diễn biến này hữu ích hoặc không hữu ích trong việc giải quyết vấn đề ransomware.

Xin nhắc lại, đây là phiên bản công khai của blog Hacking Healthcare. Để có thêm phân tích chuyên sâu và ý kiến, hãy trở thành thành viên của H-ISAC và nhận phiên bản TLP Amber của blog này (có trong Cổng thông tin thành viên).

 

Chào đón trở lại Hacking chăm sóc sức khỏe.

 

1. Giới thiệu

Ransomware không gặp khó khăn gì trong việc duy trì sự chú ý khi các sự cố nghiêm trọng liên tục xảy ra trong vài tuần qua. Các cơ quan chính phủ và các tổ chức tư nhân đang cố gắng giải quyết tình hình ngày càng tồi tệ này, và tốc độ mà tình hình chung đang diễn biến có thể khiến chúng ta dễ dàng bỏ lỡ những diễn biến quan trọng. Với suy nghĩ này, chúng tôi đã dành ấn bản này Hacking chăm sóc sức khỏe để xem xét các diễn biến gần đây của phần mềm tống tiền, đánh giá tác động của chúng đối với khu vực tư nhân và nêu bật một số khuyến nghị mà các thành viên H-ISAC có thể thấy có giá trị.

 

Phản hồi của Chính phủ

 

Chúng ta bắt đầu với chính quyền Biden. Chính quyền đã đưa an ninh mạng trở thành vấn đề ưu tiên và không thiếu các sự cố an ninh mạng quan trọng cần ứng phó. Mặc dù thời điểm trùng với cuộc tấn công ransomware Colonial Pipeline, các sắc lệnh hành pháp liên quan đến an ninh mạng gần đây của chính quyền về sự can thiệp của Nga, các thách thức về chuỗi cung ứng và an ninh mạng chủ yếu được điều chỉnh để ứng phó với các sự cố trước đó như SolarWinds và ít tập trung hơn vào vấn đề ransomware. Tuy nhiên, trong vài tuần qua, chính quyền Biden đã thực hiện nhiều bước để giải quyết làn sóng ransomware không ngừng nghỉ.

 

Sở Tư pháp

 

Bộ Tư pháp (DOJ) đặc biệt tích cực trong lĩnh vực này.

 

Lực lượng đặc nhiệm ransomware: Như chúng tôi đã đề cập ngắn gọn trong ấn bản trước, một bản ghi nhớ nội bộ của DOJ đã được ban hành vào cuối tháng 4 thông báo về việc thành lập một lực lượng đặc nhiệm chống phần mềm tống tiền. Bản ghi nhớ thừa nhận rằng phần mềm tống tiền không chỉ là mối đe dọa kinh tế ngày càng gia tăng mà còn là mối đe dọa đối với sức khỏe và sự an toàn của công dân Hoa Kỳ.[1] Có thông tin cho rằng bản ghi nhớ này sẽ giúp cải thiện việc chia sẻ thông tin tình báo trên toàn DOJ, tạo ra chiến lược nhắm vào mọi khía cạnh của hệ sinh thái ransomware và có cách tiếp cận chủ động hơn nói chung.[2]

 

Nâng cao Ransomware:Chiến lược và cách tiếp cận nói trên đã được tiết lộ một phần vào đầu tháng 6 khi có thông tin cho biết Bộ Tư pháp đã ban hành hướng dẫn nội bộ, trong đó ưu tiên điều tra các cuộc tấn công bằng phần mềm tống tiền tương tự như khủng bố.[3] Động thái này yêu cầu các vụ việc và cuộc điều tra về phần mềm tống tiền phải được phối hợp tập trung với lực lượng đặc nhiệm về phần mềm tống tiền tại Washington, DC để đảm bảo có thể tạo ra bức tranh toàn cảnh và hiểu biết tốt nhất có thể cho các bên liên quan trong các sự cố phần mềm tống tiền.

 

Phục hồi tiền chuộc: Khi Colonial Pipeline trả tiền chuộc bằng Bitcoin, nhiều người cho rằng thủ phạm và số tiền đã mất. Tuy nhiên, một hoạt động do FBI chỉ đạo đã có thể thu giữ được 2.3 triệu đô la Bitcoin được trả trong khoản tiền chuộc.[4] FBI được cho là đã theo dõi chuyển động của số tiền chuộc trên sổ cái Bitcoin công khai và sau đó truy cập vào tài khoản ảo nơi phần lớn số tiền này được chuyển đến.[5]

 

CYBERCOM của Hoa Kỳ

 

Ngoài Bộ Tư pháp, Bộ Tư lệnh Không gian mạng Hoa Kỳ (CYBERCOM), có nhiệm vụ “Chỉ đạo, Đồng bộ hóa và Điều phối Hoạt động và Kế hoạch Không gian mạng – để Bảo vệ và Thúc đẩy Lợi ích Quốc gia – thông qua Hợp tác với các Đối tác trong nước và quốc tế”, cũng có vai trò trong việc ứng phó với các mối đe dọa từ phần mềm tống tiền.[6]

 

Nghe:Trong phiên điều trần trực tuyến vào thứ sáu tuần trước, Tướng Nakasone, người kiêm nhiệm cả chức vụ người đứng đầu CYBERCOM và giám đốc NSA, đã từ chối việc cần có thẩm quyền mới để truy bắt các nhóm tội phạm mạng.[7] Ông tuyên bố rằng ông nghĩ mình có "tất cả các thẩm quyền cần thiết để có thể truy tố về mặt tình báo đối với những kẻ thù này bên ngoài Hoa Kỳ".[8] Tuy nhiên, khi nói cụ thể về phần mềm tống tiền, ông cho biết thách thức thực sự và là thách thức mà chính quyền Biden đang giải quyết là làm thế nào để chia sẻ và phối hợp thông tin tình báo và hành động với nhiều bên liên quan trong khu vực công và tư nhân, đồng thời xác định ai sẽ dẫn đầu các nỗ lực chung. [9]

 

DHS

 

Hướng dẫn – CISA: Mối đe dọa từ Ransomware ngày càng tăng đối với Tài sản OT: Tầm quan trọng ngày càng tăng của ransomware cũng đã dẫn đến việc công bố hướng dẫn bổ sung từ chính phủ, bao gồm cả tờ thông tin CISA có tiêu đề, Mối đe dọa từ Ransomware ngày càng tăng đối với các tài sản công nghệ hoạt động.[10] Tài liệu dài ba trang này cung cấp tổng quan về mối đe dọa từ phần mềm tống tiền, đặc biệt là đối với tài sản OT, sau đó phác thảo các hành động mà tổ chức nên thực hiện để chuẩn bị, giảm thiểu và ứng phó với phần mềm tống tiền.

 

Phát triển khu vực tư nhân

 

Cũng có một số diễn biến đáng chú ý về ransomware liên quan đến khu vực tư nhân trong những tuần gần đây. Thật không may, những diễn biến này có xu hướng tiêu cực hơn là tích cực. Các cuộc tấn công ransomware cấp cao tiếp tục dẫn đến các khoản thanh toán tiền chuộc lên tới hàng triệu đô la và Quốc hội Hoa Kỳ đã chỉ trích gay gắt cách khu vực tư nhân phản ứng với các sự cố.

 

Lực lượng đặc nhiệm chống phần mềm tống tiền IST (RTF): RTF, một nhóm gồm khoảng 60 chuyên gia từ cả khu vực công và tư, đã công bố một báo cáo dài 81 trang cung cấp khuôn khổ chi tiết và toàn diện để chống lại phần mềm tống tiền.[11] Tài liệu này sẽ giúp mọi người hiểu rõ hơn về các sắc thái của phần mềm tống tiền, đồng thời cung cấp các hành động chính sách thiết thực và khả thi.

 

Được thành lập bởi Viện An ninh và Công nghệ (IST), RTF có sự tham gia của đại diện từ các công ty công nghệ lớn như Microsoft và Amazon; các tổ chức an ninh mạng như Rapid7, Palo Alto Networks, Liên minh An ninh mạng, Liên minh Đe dọa Mạng và Liên minh An ninh Mạng Toàn cầu; và các tổ chức chính phủ như Trung tâm An ninh Mạng Quốc gia Vương quốc Anh (NCSC) và Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA).

 

 

JBS và CNA: JBS, một trong những nhà chế biến thịt lớn nhất tại Hoa Kỳ, gần đây đã trở thành một trong những vụ tấn công ransomware nổi tiếng tiếp theo sau Colonial Pipeline. Cuộc tấn công đã có tác động lan rộng, vì các hoạt động của JBS tại Úc, Canada và Hoa Kỳ đều được báo cáo là bị ảnh hưởng.[12] Cuối cùng, JBS đã trả khoản tiền chuộc khoảng 11 triệu đô la với mục đích đảm bảo rằng thủ phạm không đánh cắp được dữ liệu của công ty.[13]

 

Tuy nhiên, khoản thanh toán đó chẳng thấm vào đâu so với số tiền gần 40 triệu đô la mà tổ chức bảo hiểm CNA Financial Corp. được cho là đã trả để “giành lại quyền kiểm soát mạng lưới của mình sau một cuộc tấn công bằng phần mềm tống tiền”.[14] Mặc dù cuộc tấn công đó có vẻ xảy ra vào tháng 3, nhưng thông tin chi tiết về khoản tiền chuộc chỉ được công khai vào cuối tháng 5.

 

Quốc hội lên tiếng phản đối: Trong phiên điều trần của quốc hội tuần trước, các nhà lập pháp đã nhiều lần trao đổi với Tổng giám đốc điều hành Colonial Pipeline Joseph Blunt về cách họ phản ứng với sự cố ransomware của họ. Một số nhà lập pháp khẳng định rằng Colonial Pipeline đã từ chối các cuộc đánh giá an ninh mạng tự nguyện của Cục An ninh Giao thông, với Dân biểu Bonnie Watson Coleman (D) tuyên bố: "Việc trì hoãn các đánh giá này quá lâu đồng nghĩa với việc từ chối chúng, thưa ngài."[15] Những người khác phản đối quyết định của đường ống không liên hệ ngay với DHS và CISA hoặc không chấp nhận sự hỗ trợ của họ trong hoạt động phục hồi.[16] Một số thành viên quốc hội thậm chí còn đặt câu hỏi liệu các tiêu chuẩn an ninh mạng tự nguyện và cách tiếp cận "không can thiệp" vào cơ sở hạ tầng quan trọng có còn khả thi hay không.[17]

 

Hành động & Phân tích
**Yêu cầu phải là thành viên**

 

 

Quốc hội

 

Thứ ba, tháng 6 15th:

– Không có phiên điều trần có liên quan

 

Thứ tư, tháng 6 16th:

– Thượng viện – Ủy ban An ninh Nội địa và Các vấn đề Chính phủ: Cuộc họp kinh doanh để xem xét đề cử Jen Easterly làm Giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng, Bộ An ninh Nội địa, và Chris Inglis làm Giám đốc An ninh mạng Quốc gia.

 

- Hạ viện – Ủy ban An ninh Nội địa: Các mối đe dọa mạng trong đường ống: Bài học từ phản ứng của Liên bang đối với cuộc tấn công Ransomware vào đường ống Colonial

 

Thứ Năm, ngày 17 tháng Sáu:

– Không có phiên điều trần có liên quan

 

Quốc Tế Phiên điều trần/Cuộc họp

– Không có cuộc họp nào có liên quan

 

EU -

 

 

 

Hội nghị, Hội thảo trên web và Hội nghị thượng đỉnh –

 

 

https://h-isac.org/events/

 

Liên hệ với chúng tôi: theo dõi @HealthISAC và gửi email tới contact@h-isac.org

 

[1] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[2] https://www.wsj.com/articles/ransomware-targeted-by-new-justice-department-task-force-11619014158?mg=prod/com-wsj

[3] https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

[4] https://www.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html

[5] https://www.wsj.com/articles/how-the-fbi-got-colonial-pipelines-ransom-money-back-11623403981?mg=prod/com-wsj

[6] https://www.cybercom.mil/About/Mission-and-Vision/

[7] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[8] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[9] https://www.c-span.org/video/?512335-1/nsa-director-nakasone-testifies-2022-defense-intelligence-agenda&live

[10] https://www.cisa.gov/sites/default/files/publications/CISA_Fact_Sheet-Rising_Ransomware_Threat_to_OT_Assets_508C.pdf

[11] https://securityandtechnology.org/ransomwaretaskforce/

[12] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[13] https://www.cyberscoop.com/jbs-ransom-11-million-cybercrime/

[14] https://www.bloomberg.com/news/articles/2021-05-20/cna-financial-paid-40-million-in-ransom-after-march-cyberattack

[15] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[16] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

[17] https://www.cyberscoop.com/house-homeland-colonial-hearing-coordination/

  • Tài nguyên liên quan & Tin tức