Killware может быть новейшим типом атаки вымогателей в здравоохранении, но злоумышленники по-прежнему в значительной степени финансово мотивированы.
В октябре 2021 года секретарь Министерства внутренней безопасности США (DHS) Алехандро Майоркас заявил USA Today, что «killware» станет следующей большой угрозой кибербезопасности, на которую следует обратить внимание.
Майоркас сослался на февральское нападение на водоочистное сооружение во Флориде, в котором злоумышленники попытались поднять уровень щелока в общественном водоснабжении до опасных уровней. DHS наблюдало по меньшей мере три нападения на очистные сооружения воды и сточных вод США только в 2021 году.
Многочисленные атаки на критически важную инфраструктуру, включая водоочистные сооружения и больницы, могут означать изменение приоритетов для субъектов угроз. В прошлом хакерские группы часто прямо заявляют, что они не будут нацелены на больницы, школы или какие-либо критически важные объекты инфраструктуры. Но теперь такие группы, как FIN12 и другие, сделали медицинские учреждения своими основными целями.
Хотя ни одна из атак на водоочистные сооружения 2021 года не привела к человеческим жертвам, эти действия представляют собой тревожную новую угрозу для организаций, которые еще не внедрили надлежащие гарантии информационной безопасности. Теперь ясно, что некоторые субъекты, угрожая, готовы рисковать жизнями, чтобы успешно получить выкуп от своих жертв.
Хотя killware звучит как ужасающая новая угроза, организации здравоохранения могут защитить свои данные и пациентов, используя те же меры, которые они использовали бы для борьбы с вымогателями. В нынешнем ландшафте киберугроз большинство плохих игроков по-прежнему заинтересованы только в финансовой выгоде.
ЧТО ТАКОЕ ВРЕДОНОСНЫЕ ПРОГРАММЫ?
«Killware — это следующая эволюция программ-вымогателей», — сказал Брайан Врозек, директор по информационной безопасности (CISO) в Optiv Security, в интервью HealthITSecurity.
Многие организации здравоохранения приняли атаки вымогателей как неизбежное явление, что делает угрозу менее мощной, пояснил Врозек. Killware снова дает злоумышленникам рычаги влияния, повышая ставки. Даже если хакеры не намерены на самом деле причинять вред, угрозы может быть достаточно, чтобы напугать жертв и получить огромную выплату.
Killware может быть развернуто с использованием той же технической тактики, что и программы-вымогатели. Однако вместо того, чтобы угрожать шифрованием или публикацией конфиденциальных данных, злоумышленники, использующие killware, намерены причинить вред людям или причинить человеческие жертвы. Исследования Gartner показали, что к 2025 году субъекты угроз будут регулярно вооружать оперативную среду, чтобы сделать именно это.
«Традиционные программы-вымогатели теряют немного своего удара», — отметил Врозек. «Вы не можете путешествовать по Интернету, не увидев еще одну новостную статью о том, что кто-то пострадал от вымогателей. В каком-то смысле это становится старой новостью».
Но когда медицинским устройством манипулируют и человеческие жизни находятся под угрозой, «теперь у вас есть внимание людей», предположил Врозек.
Недавно обнаруженные уязвимости в инфузионных помпах и инсулиновых помпах показали, что злоумышленники могут манипулировать медицинскими устройствами для удаленного изменения доз лекарств и представлять риски для безопасности пациентов. Не было зарегистрировано ни одного инцидента, но возможность эксплуатации стала хорошим основанием для организаций инвестировать в обновленные меры безопасности медицинских устройств и поэтапно отказаться от устаревших устройств.
Более 550 организаций сообщили об утечках данных здравоохранения в HHS в 2021 году. Хотя организации, по-видимому, становятся лучше в кибербезопасности, внедряя киберстрахование и обучение сотрудников, злоумышленники успешно развертывают программы-вымогатели с теми же темпами, что и в 2020 году.
Киберпреступники развивались с той же скоростью, чтобы компенсировать повышение осведомленности и готовности организаций здравоохранения.
«Они ищут творческие способы изменить игру на нас», — заявил Врозек. «И я думаю, что killware — это следующая эволюция».
РАЗВЕНЧАНИЕ МИФОВ ОБ УБИЙСТВЕ
Хотя он носит другое название, методы и тактика killware в значительной степени такие же, как у программ-вымогателей. Компании и частные лица могут обоснованно опасаться надвигающейся угрозы убийственно-программного обеспечения, но подготовка к ней требует внедрения тех же протоколов кибергигиены, которые они будут использовать для защиты от программ-вымогателей.
«Они будут продолжать нацеливаться, используя те же методы», — предположил Врозек. Фишинговые электронные письма, программы-вымогатели и нацеливание на устаревшие системы в прошлом работали для злоумышленников.
«Я не вижу, чтобы они действительно адаптировали свои методы или то, что они пытаются атаковать так же, как пытаются повысить уровень тревоги жертв, чтобы убедить их платить и платить больше».
У некоторых людей также может сложиться впечатление, что killware затмит вымогателей и станет ежедневной угрозой для организаций здравоохранения. Врозек утверждал, что это маловероятно, потому что широко распространенный вред, вероятно, привлечет нежелательное внимание правительства.
«Я не думаю, что они хотят раздвинуть границы возможного до этого момента», — сказал Врозек о нападавших.
Атака на трубопровод в мае 2021 года, которая затронула тысячи километров цепочки поставок топлива в США, уже привлекла достаточно внимания, чтобы инициировать многочисленные инициативы, направленные на прекращение программ-вымогателей. Президент Байден издал указ через несколько дней после атаки и призвал различные правительственные учреждения разработать лучшие практики и тактику снижения рисков программ-вымогателей для критически важных объектов инфраструктуры.
Внимание правительства привело к последствиям для субъектов угрозы. В ноябре Министерство юстиции США (DOJ) объявило о двух обвинительных заключениях, связанных с REvil / Sodinokibi в рамках целевой группы по цифровому вымогательству департамента.
Поскольку большинство киберпреступника финансово мотивированы, дополнительное внимание, привлекаемое убийством и причинением вреда жертвам, вероятно, не будет в их интересах.
«Я не знаю, буду ли я терять сон из-за убийственного утваря», — продолжил Врозек. «Не так много нападавших думают о том, как они могут убить кучу людей. Речь идет о том, сколько денег они могут заработать. Так что да, это угроза, но в конце концов они просто хотят, чтобы вы заплатили выкуп».
ЗАЩИТА ОРГАНИЗАЦИИ ОТ ВРЕДОНОСНЫХ ПРОГРАММ
«Все дело в том, чтобы практиковать эти проверенные фундаментальные средства контроля безопасности, такие как многофакторная аутентификация и регулярное обновление ваших систем», — посоветовал Врозек.
«Другой метод, который, как я думаю, недостаточно используется, — это моделирование угроз и действительно взгляд на ваши системы и вашу среду с точки зрения злоумышленника».
Управление по санитарному надзору за безопасностью пищевых продуктов и медикаментов (FDA) в партнерстве с MITRE и Консорциумом по инновациям в области медицинского оборудования недавно выпустило руководство по моделированию угроз для медицинских устройств, чтобы помочь организациям обнаруживать и смягчать уязвимости.
Внедрение модулей сегментации сети и обучения сотрудников также является важнейшими мерами безопасности, которые организации должны принимать для снижения рисков.
Но эти профилактические меры полезны только в том случае, если они регулярно практикуются. Организации здравоохранения должны использовать настольные обсуждения для просмотра своего плана реагирования на киберинциденты и убедиться, что роли и обязанности четко определены в организации. Каждая организация имеет конкретные потребности и обстоятельства, что делает практику и адаптацию ответа к конкретной организации еще более важным.
Killware является серьезной и тревожной угрозой для здравоохранения. Существование killware должно стать еще одним стимулом для организаций инвестировать в кибербезопасность и внедрять технические и административные меры безопасности для защиты безопасности пациентов.
