Ataki ransomware to wciąż największe zagrożenie dla firm
Ataki ransomware wciąż pozostają głównym wektorem zagrożeń. Zdaniem wielu ekspertów zagrożenie ransomware jest silniejsze niż kiedykolwiek wcześniej. W ostatnim roku mamy do czynienia z gigantycznym wzrostem ataków ransomware na służbę zdrowia. Placówki medyczne zwłaszcza w dobie pandemii są atrakcyjnym celem dla cyberprzestępców. Części jednostek medycznych udało się przezwyciężyć paraliż po ataku ransomware, jednak inne nie były w stanie wyzdrowieć po starciu ze śmiercionośnym ransomware. Na przykład kalifornijska firma medyczna Wood Ranch Medical została zmuszona do zakończenia swojej działalności po tym, jak po udanym ataku ransomware odtworzenie elektronicznej dokumentacji pacjentów okazało się niemożliwe.
Dlaczego ataki ransomware na placówki medyczne są tak groźne?
Przede wszystkim ataki ransomware to już nie tylko szyfrowanie plików, większości z nich towarzyszy eksfiltracja danych i ataki DDoS. Ataki ransomware na jednostki medyczne są wyjątkowo intratne dla cyberprzestępców, możemy tylko domniemywać jak wysoki okup zapłaciła kanadyjska firma LifeLabs za odzyskanie danych osobowych ponad 15 milionów pacjentów. Każdy cyberatak na placówkę medyczną to zagrożenie jakości opieki, incydenty bezpieczeństwa niejednokrotnie zmuszają placówki do zawieszenia leczenia i przetransportowania pacjentów do innych jednostek do czasu przywrócenia systemów i danych, potencjalnie każdy atak ransomware może mieć śmiertelne konsekwencje dla pacjentów. Organizacje opieki zdrowotnej są atrakcyjnymi celami dla cyberprzestępców ze względu na ogromne zasoby danych, które napastnicy mogą z łatwością zmonetyzować. Zadanie atakującym ułatwiają ograniczone zasoby bezpieczeństwa i luźne podejście do cyberobrony. Na przykład ponad połowa świadczeniodawców opieki zdrowotnej ankietowanych przez Cisco Duo Security nadal korzysta z krytycznie zagrożonych aplikacji w systemie Windows 7, przez co wciąż są podatni na te same exploity, które podsyciły pandemię ransomware WannaCry. Niestety dostawcy usług medycznych inwestują mniej w cyberbezpieczeństwo niż inne branże. Placówki opieki zdrowotnej przeznaczają średnio tylko od czterech do siedmiu procent swoich budżetów IT na cyberbezpieczeństwo, podczas gdy większość innych branż zazwyczaj inwestuje około 15%.
Dlaczego inwestycja w cyberbezpieczeństwo w opiece zdrowotnej jest konieczna?
Ryzyko związane z atakiem ransomware w jednostkach opieki zdrowotnej będzie tylko większe. Cyberprzestępcy nieustannie udoskonalają swoje taktyki, techniki i procedury, aby ich ataki były skuteczniejsze i bardziej opłacalne. Ostatnio zespół badawczy BlackBerry przedstawił profil Zeppelina, najnowszego członka rodziny Ransomware-as-a-Service (RaaS) opartej na Delphi, początkowo znanej jako Vega lub VegaLocker. Poprzednie wersje były przeznaczone do szeroko zakrojonych kampanii przeciwko podmiotom rosyjskojęzycznym. Nowa wersja jest zoptymalizowana pod kątem ataku na kilka starannie wybranych firm technologicznych i medycznych w Europie i Stanach Zjednoczonych. Zeppelin jest przebiegły i wyrafinowany, wykorzystuje między innymi techniki zaciemniania, aby skutecznie omijać zabezpieczenia oparte na sygnaturach.
Jak zabezpieczyć jednostki medyczne przed atakiem ransomware?
Organizacje opieki zdrowotnej muszą zdawać sobie sprawę z tego, że doskonale zorganizowane gangi ransomware mogą z łatwością wykorzystać rażące dziury w ich strukturze bezpieczeństwa. Aby chronić zarówno siebie, jak i pacjentów, którym służą, jednostki służby zdrowia muszą szybko zastąpić reaktywne narzędzia oparte na sygnaturach proaktywnymi rozwiązaniami zabezpieczającymi, takimi jak CylancePROTECT, które wykorzystują sztuczną inteligencję i uczenie maszynowe, aby skutecznie powstrzymać ataki ransomware.
Oprogramowanie antywirusowe CylancePROTECT zatrzymuje oprogramowanie ransomware WannaCry, Goldeneye i Satan za pomocą modeli matematycznych pochodzących z września 2015 r. Modele powstały na długo przed wykryciem oprogramowania ransomware po raz pierwszy. Przewaga predykcyjna zweryfikowana przez SE Labs obejmuje również Emotet (816 dni), GandCrab (795 dni), GlassRAT (548 dni), PolyRansom (862 dni), Sauron / Strider / Remsec (548 dni), Zcryptor (182 dni).
Organizacje opieki zdrowotnej muszą podjąć też inne znaczące kroki, aby zmodernizować swoją infrastrukturę i zasady bezpieczeństwa. Wszystkie systemy sieciowe powinny być rygorystycznie testowane w celu zidentyfikowania i wyeliminowania luk, które mogą zostać bezpardonowo wykorzystywane przez napastników. O tym, jak groźne mogą być luki zero-day pisaliśmy w tym wpisie.
