Menjadi jelas di seluruh lanskap keamanan siber layanan kesehatan minggu ini bahwa potensi serangan pemerasan ganda oleh RansomHub membayangi Change Healthcare, menyusul serangan siber ALPHV pada bulan Februari.

Selanjutnya, banyaknya berita di LockBit memulai kisah rumit tentang spionase internasional dan potensi ancaman baru terhadap organisasi layanan kesehatan dari kelompok ini. Kami berbicara dengan beberapa pemimpin keamanan siber minggu ini untuk mendapatkan masukan mengenai layanan kesehatan.

Pemerasan ganda untuk Perubahan Layanan Kesehatan

Berbagai sumber melaporkan kelompok ransomware-as-a-service RansomHub mengklaim kepemilikan 4TB data Change Healthcare yang dicuri dan mengancam akan mempublikasikannya kecuali uang tebusan dibayarkan.

“Pemerasan ganda tampaknya sejalan dengan apa yang mungkin mereka lakukan,” Joel Burleson-Davis, wakil presiden senior bidang teknik dunia maya di Imprivata, mengatakan melalui email pada hari Jumat.

“Dinamika lainnya adalah bahwa ini adalah model bisnis, jadi jika mereka menginginkan pembayaran, mereka harus mempertahankan kesepakatan mereka, seperti situasi kontrak. Pungli ganda seperti skenario risk/reward untuk model bisnis mereka di masa depan,” jelasnya.

Bulan lalu, SOCRadar memposting profil RansomHub dan melaporkan bahwa, berbeda dengan grup ransomware lainnya, pembayaran tebusan grup pada awalnya dikirim ke afiliasi dengan jumlah 90%.

Sementara itu, vx-underground, kumpulan sampel dan informasi kode sumber malware, menurut profil X-nya, mengatakan pada hari Senin bahwa afiliasi ALPHV pindah ke RansomHub.

“Ubah Healthcare dan UnitedHealth, Anda memiliki satu kesempatan untuk melindungi data klien Anda. Data tersebut belum bocor di mana pun dan intelijen ancaman apa pun akan mengonfirmasi bahwa data tersebut belum dibagikan atau diposting,” kelompok tersebut diduga memposting pada hari Senin, menurut tangkapan layar yang dibagikan oleh kelompok bernama Dark Web Informer di X.

Juga pada dugaan halaman situs web gelap RansomHub, kelompok tersebut menambahkan, “Kami memiliki datanya dan bukan ALPHV.”

Departemen Kehakiman mengumumkan bahwa mereka menyita ALPHV Blackcat pada bulan Desember, namun kemudian kelompok Blackcat mengaku bertanggung jawab atas serangan Change Healthcare pada bulan Februari dan melaporkan memiliki catatan medis, asuransi dan gigi, bersama dengan data pembayaran dan klaim serta informasi identitas pribadi pasien. bersama dengan data personel militer/angkatan laut AS.

Pada bulan Maret, ALPHV mendaftarkan pembayaran uang tebusan, dan situs tersebut ditutup dengan penyitaan penegakan hukum yang kedua, pemberitahuan bahwa lembaga investigasi menolak mempostingnya.

Apakah kelompok tersebut merupakan sekelompok aktor ancaman terkait atau tidak terkait yang mencoba membuat UnitedHealth Group membayar lebih dari $22 juta dalam bentuk Bitcoin yang mungkin telah dibayarkan untuk membantu memulihkan sistem Change Healthcare dan melepaskan tekanan pada penyedia layanan setelah pemadaman ransomware, potensinya membocorkan sejumlah besar data kesehatan yang dilindungi merupakan hal yang mengkhawatirkan bagi seluruh ekosistem layanan kesehatan.

Greg Surla menceritakan Berita IT Kesehatan Pada hari Kamis, risiko pelanggaran data berskala besar terhadap organisasi layanan kesehatan sangatlah “rumit dan meresahkan.”

“Ancaman baru berupa paparan data dari pihak kedua ini memperkuat pentingnya perencanaan kelangsungan bisnis karena mungkin sulit untuk memprediksi kapan serangan benar-benar berakhir,” tegasnya melalui email.

“Selain itu, perkembangan terbaru meningkatkan kebutuhan untuk memastikan bahwa PHI dilindungi menggunakan kontrol keamanan yang kuat, selaras dengan praktik terbaik industri dan setiap pelanggaran dilaporkan ke [U.S. Health and Human Services] dan individu yang terkena dampak tanpa penundaan yang berarti setelah terjadinya pelanggaran.”

Burleson-Davis menambahkan bahwa potensi skenario pemerasan ganda adalah “mengapa kita memerlukan lebih banyak peraturan seputar akses pihak ketiga” dan program keamanan yang kuat, seperti alat manajemen akses istimewa, yang “dapat menghindari beberapa hal ini.”

“[UHG] kemungkinan besar telah melakukan forensik sebanyak mungkin dan jika mereka mengalami pelanggaran kedua yang tidak terdeteksi, bisa jadi itu adalah aktor kedua yang sedang bertindak. Tapi apa artinya tidak ada yang ketiga, atau keempat?” dia menjelaskan kepada Berita IT Kesehatan.

“Fakta adanya aktivitas tambahan yang terlihat seperti pelanggaran kedua atau pemerasan ganda berarti mereka masih berada di tengah-tengah hal ini dan belum keluar dari masalah,” tambahnya. “Jika saat ini terdapat banyak aktor berbeda dalam sistem mereka, jalan menuju pemulihan akan jauh lebih panjang, lebih mahal, dan lebih berdampak.

“Bagaimana mereka tahu bahwa mereka bersih? Hal ini menciptakan profil risiko yang sangat besar.”

SC Media mencatat dalam laporannya hari Senin bahwa RansomHub memberi UHG dan Optum waktu 12 hari untuk membayar, atau akan membocorkan data Change Healthcare.

Peneliti mengungkap LockBit

Pada bulan Februari, DOJ dan Biro Investigasi Federal AS mengumumkan tim internasional yang terdiri dari pejabat penegak hukum berkolaborasi melalui kampanye pertahanan ransomware terkoordinasi yang dipimpin pemerintah yang disebut Operasi Cronos dan menyita server geng ransomware Lockbit, menyediakan dekripsi ke berbagai organisasi di berbagai sektor.

Lockbit, sebuah kelompok ransomware yang diketahui menyerang organisasi layanan kesehatan – meskipun telah meminta maaf kepada SickKids yang berbasis di Toronto dan menawarkan dekripsi pada tahun 2023 – tampaknya kelompok tersebut tidak akan menyerah tanpa perlawanan.

Minggu lalu, Trend Micro merilis rincian tentang bagaimana LockBit beroperasi setelah gangguan Operasi Cronos. Perusahaan tersebut mengatakan, ketika mencoba untuk tetap bertahan dengan versi baru, karena grup tersebut kemungkinan besar sedang mengerjakan LockBit 4.0, mereka mungkin baru-baru ini merilis varian LockBit-NG-Dev.

Setelah meneliti pelaku ancaman yang terkait dengan grup tersebut, peneliti Trend Micro mengatakan mereka mempertanyakan kemampuan LockBit untuk menarik afiliasi teratas, berdasarkan kegagalan “logistik, teknis, dan reputasi” grup tersebut pada tahun 2023.

Ada juga spekulasi pada hari Kamis bahwa LockBit berganti nama menjadi DarkVault, menurut a berita siber laporan.

Sementara itu, sumber yang tidak disebutkan namanya mengatakan kepada Bloomberg pada hari Rabu bahwa penyelidik penegak hukum telah menghubungkan nama samaran yang digunakan oleh geng peretas LockBit dengan individu tertentu, dan sedang melacak daftar 200 petunjuk ke rekanan LockBit.

DOJ juga mengatakan, ketika mengumumkan penyitaan aset LockBit, mereka membuka segel dakwaan di New Jersey dan California terhadap warga negara Rusia Artur Sungatov dan Ivan Kondratyev, juga dikenal sebagai penjahat dunia maya Bassterlord, karena menyebarkan LockBit terhadap banyak korban di seluruh Amerika Serikat. .

Sungatov dan Kondratyev tidak ditahan tetapi telah dikenakan sanksi oleh Departemen Keuangan AS, menurut laporan bulan Februari di TechCrunch, yang berarti hubungan apa pun yang dilakukan oleh bisnis atau individu AS untuk membayar mereka berisiko terkena denda dan/atau tuntutan pidana.

Microsoft CVE berlipat ganda pada bulan April

Badan Keamanan Siber dan Infrastruktur mengeluarkan arahan darurat minggu lalu untuk mengatasi dampak pelanggaran terhadap Microsoft terhadap lembaga-lembaga federal.

“Aktor dunia maya yang disponsori negara Rusia yang dikenal sebagai Midnight Blizzard telah menyusup korespondensi email antara lembaga Cabang Eksekutif Sipil Federal dan Microsoft melalui keberhasilan penyusupan akun email perusahaan Microsoft,” kata CISA dalam pengumuman tanggal 2 April.

Badan-badan FCEB diharuskan untuk “menganalisis isi email yang dieksfiltrasi, mengatur ulang kredensial yang disusupi dan mengambil langkah-langkah tambahan untuk memastikan alat otentikasi untuk akun Microsoft Azure yang memiliki hak istimewa aman,” kata badan keamanan siber terkemuka AS.

Ini adalah bulan besar bagi kerentanan dan paparan umum keamanan Microsoft yang harus diwaspadai oleh semua sektor, termasuk TI layanan kesehatan.

Tyler Reguly, manajer senior penelitian dan pengembangan keamanan di perusahaan keamanan Fortra, mengatakan pada Patch Selasa minggu ini bahwa 149 CVE yang dikeluarkan Microsoft pada bulan April akan membuat perusahaan sibuk.

“Kami melihat 56, 73 dan 61 CVE yang dikeluarkan Microsoft dirilis untuk bulan Januari, Februari dan Maret,” katanya melalui email.

“Yang paling penting adalah sepertiga dari kerentanan merujuk pada Microsoft Security Boot atau Microsoft SQL Server. Selain itu, fitur Azure, termasuk Microsoft Defender untuk [Internet of Things]mencakup 15 dari CVE yang ditambal bulan ini,” tambahnya.

Andrea Fox adalah editor senior Healthcare IT News.
Surel: afox@himss.org

Healthcare IT News adalah publikasi HIMSS Media.

Fuente