Novinky

Radi vás ošetríme, hneď ako zaplatíme výkupné alebo Hrozba ransomwaru nielen v nemocniciach

13.1.2017 sectec Bezpečnosť

Prebieha rok hackerských útokov na nemocnice – tak sa hovorilo už o minulom roku a rovnako tak sa bohužiaľ môžeme vyjadriť i o tomto. Hitom sa stal vydieračský software, ransomware. Len za prvé ti mesiace 2016 zarobili vydierači na výpalnom viac než 200 miliónov dolárov a odhad analytikov hovorí o objemu až 1 miliardy dolárov zisku z výkupného za celý rok 2016. A kampaniam hackerov sa nevyhli ani zdravotnícke zariadenia. Asi najznámejším prípadom je útok na nemocnicu v Los Angeles, ktorý sa v médiách objavil vo februári 2016. Hackeri od nemocnice získali v bitcoinech 17 000 dolárov. Pokusy o vydieranie sa vyskytli i v českých nemocniciach, ktoré sa im úspešne ubránili.

Prečo práve zdravotnícke zariadenia?

Zaujímavé závery priniesla štúdia Healthcare Environmental Security Scan Report od neziskovej organizácie HIMSS. Z nich vyplýva, že pravdepodobnosť ovplyvnenia pokročilým malwarem je u zdravotníckych zariadeniach 4x vyššia než v iných odvetviach. A niet divu, podľa odhadov sa na čiernom trhu platí za zdravotnícke záznamy pacientov 10x až 20x viac než za čísla kreditných kariet. Dôvodom k vysokým platbám je ďalšie možné využitie získaných dát k podvodom či krádežiam identity. Ponemon Institut odhaduje, že strata nemocníc spôsobená kybernetickými útokmi dosahuje čiastku 6,2 miliardy dolárov ročne. Behom práce na štúdii Cisco Midyear Cybersecurity Report sme sa zamerali i na zdravotnícke zariadenia a zistili sme, že sa tu častejšie vyskytujú:

  • Situácie, kedy jednotliví zamestnanci zdieľajú svoje heslá a mnoho z nich má nastavený účet s vysokým stupňom oprávnenia, aj keď ich k práci nepotrebujú.
  • Nedostatočne zabezpečené prihlasovanie, ktoré umožňuje jednoduchú detekciu hesiel.
  • Webové aplikácie so zraniteľnosťami z dokumentu OWASP top 10.
  • Aplikácie a operační systémy, na ktorých nie sú nainštalované aktuálne patche.

Ako môže taký útok vypadať?

V súčasnej dobe pozorujeme, že zdravotnícke zariadenia bývajú napadnuté tromi kmeňmi ransomwaru: Powerware, Maktub Lockers a SamSam. Prvé dva menované využívajú predovšetkým phishingové kampane a podvodné e-maily. Posledný typ ransomwaru, SamSam, necieli priamo na užívateľov. Zameriava sa na siete a vďaka tomu tiež častejšie požaduje vyššie výkupné. Jednou z najrozšírenejších metód, ako útočníci ransomware do siete dostanú, je využívanie open-source nástroje JexBoss. Prostredníctvom nich dokážu monitorovať aplikačné servery Jboss. Vďaka tomuto monitoringu útočníci zistia, či je zariadenie zraniteľné voči niektorému exploitu, ktorý túto zraniteľnosti využíva. Potom, čo sa do siete dostane, nahraje útočník webshell postavený na technológii JavaServer Pages a nahraje nástroj, ako je „regeorg“, ktorý umožní ďalšie kompromitovanie systému. Táto technika sa nazýva „pivoting“.

Ucelený koncept riešení, ale i základná prevencia

Ako sa chovať, keď sa staneme obeťou ransomwaru? Pravidlo číslo 1 znie: Neplatiť! Neexistuje totiž istota, že útočník dáta skutočne odšifruje. Kontaminované dáta naviac môžu byť zmenené. Okrem toho zaplatením výkupného podporujete zločin, čo v niektorých štátoch môže byť trestné. Minimalizáciu škôd zaistíte predovšetkým pravidelným zálohovaním dát na úložisko, ktoré nie je so sieťou spojené. Samozrejme najlepšou taktikou je mať ucelený koncept ochrany zahrnujúci v sebe jednotlivé bezpečnostné riešenia. Ten zahrňuje:

  • Firewally kontrolujúce komunikáciu podľa nastavených pravidiel.
  • Prvky pre ochranu pred prienikom do internej siete organizácie porovnávajú aktuálnu prevádzku so signatúrami známych zraniteľností a blokujú prevádzku, ktorá bola na základe takýchto signatúr vyhodnotená ako škodlivá.
  • Nástroj pre ochranu webovej prevádzky kontroluje prevádzku z a do webového prostredia, funguje ako proxy brána a umožňuje nastavenie bezpečnostných politik pre komunikáciu s webovými servermi.
  • Bezpečnostná brána (či cloudová služba) pre ochranu e-mailovej prevádzky kontroluje prichádzajúcu i odchádzajúcu e-mailovú prevádzku.
  • Nástroj pre ochranu pred malwarem má za úlohu obvykle prevenciu, detekciu, blokáciu a tiež retrospektívnu analýzu súborov.
  • Riešenie pre ochranu komunikácie na DNS servery s efektívnou ochranou pred zneužitím DNS. Viac ako 92 % dnešných malwarových kampaní potrebuje ku svojmu šíreniu DNS a také riešenie napríklad vo forme cloudovej služby dokáže tieto DNS požiadavky schvaľovať či blokovať.

Len niekoľko málo zdravotníckych zariadení si môže dovoliť špecializovaný bezpečnostný IT tým, a preto by mala dbať na zlepšenie bezpečnostnej hygieny siete, aktívne ju monitorovať, vzdelávať svojich zamestnancov v oblasti kybernetickej bezpečnosti a vytvoriť si plán reakcie na incidenty.

Zdroj: systemonline.cz 

Komentáre