O postare pe blogul Check Point Software atrage atenția cu privire la creșterea numărului de atacuri cibernetice la care sunt supuse organizațiile din domeniul serviciilor medicale. La sfârșitul lunii octombrie 2020, Check Point Software a raportat că spitalele și organizațiile de asistență medicală au fost vizate de un val în creștere de atacuri ransomware, majoritatea atacurilor folosind renumitul ransomware Ryuk. Acest lucru a urmat unui aviz Joint Cybersecurity Advisory emis de CISA, FBI și HHS, care a avertizat cu privire la o amenințare crescută și iminentă a criminalității cibernetice pentru spitalele și furnizorii de servicii medicale din SUA.
Din păcate, amenințarea împotriva criminalității informatice s-a înrăutățit în ultimele două luni. De la începutul lunii noiembrie, a existat o creștere suplimentară cu 45% a atacurilor care vizează organizațiile de asistență medicală la nivel global. Aceasta este mai mult decât dublul creșterii globale a atacurilor cibernetice din toate sectoarele industriale din întreaga lume, observată în același timp.
Creșterea numărului de atacuri implică o serie de vectori, inclusiv ransomware, botnets, remote code execution și atacuri DDoS. Cu toate acestea, ransomware-ul arată cea mai mare creștere și este cea mai mare amenințare malware pentru organizațiile de asistență medicală în comparație cu alte sectoare industriale. Atacurile de ransomware împotriva spitalelor și organizațiilor conexe sunt deosebit de dăunătoare, deoarece orice întrerupere a sistemelor lor ar putea afecta capacitatea lor de a oferi îngrijire și poate pune viața în pericol – toate acestea agravate de presiunile cu care se confruntă aceste sisteme, încercând să facă față creșterii globale a COVID-19 cazuri. Acesta este tocmai motivul pentru care infractorii vizează în mod specific și cu severitate sectorul sănătății: deoarece consideră că spitalele sunt mai susceptibile de a-și satisface cererile de răscumpărare.
Prezentare globală a atacurilor
- De la 1 noiembrie 2020 a existat o creștere cu peste 45% a numărului de atacuri observate împotriva organizațiilor de asistență medicală la nivel global, comparativ cu o creștere medie cu 22% a atacurilor împotriva altor sectoare industriale.
- Numărul mediu de atacuri săptămânale în sectorul sănătății a ajuns la 626 pe organizație în noiembrie, comparativ cu 430 în octombrie.
- Atacurile care implică ransomware, botnets, executarea codului de la distanță (remote code execution) și DDoS au crescut în noiembrie, atacurile ransomware prezentând cea mai mare creștere în comparație cu alte sectoare industriale.
- Principala variantă de ransomware utilizată în atacuri este Ryuk, urmată de Sodinokibi.
Date regionale despre atacuri
Europa Centrală este în fruntea listei regiunilor afectate de creșterea atacurilor împotriva organizațiilor de asistență medicală, cu o creștere de 145% în noiembrie, urmată de Asia de Est, care a suferit o creștere de 137%, și America Latină, cu o creștere de 112%. Europa și America de Nord au înregistrat creșteri de 67%, respectiv 37%.În ceea ce privește anumite țări, Canada a înregistrat cea mai dramatică creștere, cu peste 250% creștere în atacuri, urmată de Germania, cu o creștere de 220%. Spania a înregistrat o dublare a atacurilor.
De ce atacurile sunt în creștere acum?
Motivația majoră pentru actorii rău intenționați este financiară, fiind aflați în căutare de sume mari de bani pe care doresc să le obțină rapid. Se pare că în ultimul an aceste atacuri au dat rezultate foarte bune criminalilor din spatele lor, iar acest succes le-a deschis apetitul.
După cum s-a menționat, spitalele sunt supuse unei presiuni uriașe din cauza creșterii continue a cazurilor de coronavirus și sunt dispuse să plătească răscumpărare, astfel încât să poată continua să acorde îngrijire în acest moment critic. În septembrie, autoritățile germane au raportat că ceea ce părea să fi fost un atac direcționat greșit de hackeri a cauzat eșecul sistemelor IT la un spital major din Dusseldorf, iar o femeie care avea nevoie de internare urgentă a murit după ce a trebuit să fie dusă în alt oraș pentru tratament. Niciun spital sau organizație medicală nu ar dori să experimenteze un scenariu similar, sporind probabilitatea ca organizația să îndeplinească cerințele atacatorului în speranța de a minimiza întreruperile.
De asemenea, este important de reținut că, spre deosebire de atacurile obișnuite de ransomware, care sunt distribuite pe scară largă prin campanii masive de spam și exploit-uri, atacurile împotriva spitalelor și organizațiilor de asistență medicală care utilizează varianta Ryuk sunt special adaptate și vizate. Ryuk a fost descoperit pentru prima dată la jumătatea anului 2018 și, la scurt timp, Check Point Research a publicat prima analiză amănunțită a acestui nou ransomware, care viza utilizatori din SUA. În 2020, cercetătorii Check Point de la CPR au monitorizat activitatea Ryuk la nivel global și au observat creșterea utilizării Ryuk în atacurile care vizează sectorul sănătății.
Peisajul COVID-19 din punct de vedere al cybersecurității
Pandemia a afectat fiecare aspect al vieții noastre, iar peisajul de securitate cibernetică nu a fost cruțat. De la o creștere a înregistrării domeniilor rău intenționate legate de coronavirus, până la utilizarea subiectelor conexe în atacurile de phishing și ransomware și chiar reclame de fraudă care oferă vânzare de vaccinuri Covid, am văzut o creștere fără precedent a exploatărilor informatice care caută să compromită datele personale , răspândește malware și fură bani.
Serviciile medicale și organizațiile de cercetare au devenit ținte pentru atacuri care urmăresc să fure informații comerciale și profesionale prețioase sau pentru a perturba operațiunile vitale de cercetare. Utilizarea aplicațiilor de testare și urmărire pentru urmărirea persoanelor, care anterior ar fi provocat o opoziție puternică legată de confidențialitate, a fost adoptată pe scară largă în întreaga lume și se așteaptă să supraviețuiască pandemiei. Întrucât atenția lumii continuă să se concentreze asupra gestionării pandemiei, infractorii cibernetici vor continua să folosească și să încerce să exploateze această concentrare în propriile lor scopuri ilegale – deci este esențial ca atât organizațiile, cât și persoanele să mențină o igienă cibernetică bună pentru a se proteja împotriva criminalității online legate de Covid.
Sfaturi pentru prevenirea atacurilor de tip ransomware și phishing
- Căutați infecții cu troieni – atacurile ransomware nu încep cu ransomware. Ryuk și alte tipuri de exploit-uri ransomware încep de obicei cu o infecție inițială cu un troian. Adesea, această infecție cu un troian apare cu zile sau săptămâni înainte de începerea atacului ransomware, astfel încât profesioniștii din domeniul securității ar trebui să aibă grijă de infecțiile cu Trickbot, Emotet, Dridex și Cobalt Strike în rețelele lor și să le elimine folosind soluții de eliminarea amenințărilor – deoarece toate acestea pot deschide ușa pentru Ryuk.
- Țineți garda sus în weekend și de sărbători – majoritatea atacurilor ransomware din ultimul an au avut loc în weekend și în timpul sărbătorilor, interval în care personalul IT și de securitate este mai puțin probabil să lucreze.
- Utilizați soluții anti-ransomware – deși atacurile ransomware sunt sofisticate, soluțiile anti-ransomware cu funcție de remediere sunt instrumente eficiente care permit organizațiilor să revină la operațiunile normale în doar câteva minute dacă are loc o infecție.
- Educați angajații despre e-mailurile rău intenționate – Este crucial să instruiți utilizatorii cu privire la modul de identificare și evitare a potențialelor atacuri ransomware. Deoarece multe dintre atacurile cibernetice actuale încep cu un e-mail de phishing direcționat care nici măcar nu conține programe malware, doar un mesaj conceput social care încurajează utilizatorul să facă clic pe un link rău intenționat sau să furnizeze detalii specifice. Educația utilizatorilor pentru a ajuta la identificarea acestor tipuri de e-mailuri rău intenționate este adesea considerată una dintre cele mai importante mijloace de apărare pe care o organizație le poate implementa.
- Patching virtual – recomandarea este de a corela versiuni vechi de software sau sisteme, ceea ce ar putea fi imposibil pentru spitale, deoarece în multe cazuri, sistemele nu pot fi patch-uri. Prin urmare, specialiștii Check Point Software vă recomandă să utilizați un sistem de prevenire a intruziunilor (IPS) cu capacitate de corecție virtuală pentru a preveni încercările de a exploata punctele slabe din sistemele sau aplicațiile vulnerabile. Un IPS actualizat vă ajută organizația să rămână protejată.
Sursa: Check Point Software