从2021年底到今年上半年,医疗保健网络访问勒索软件团体和附属公司的销售率一直保持不变。
美国卫生与公众服务部网络安全计划的数据显示,从2021年底到今年上半年,掌握初始访问控制权限的黑客向勒索软件集团和附属公司出售医疗网络访问权限的速度保持不变。
到目前为止,HC3关于2022年勒索软件趋势的新报告证实,在评估的时间段内,暗网论坛上出售全球医疗保健实体的访问权限也保持一致。令人担忧的是,经纪人正在进一步使勒索软件即服务集团更加专注于有效载荷的开发,并与附属机构协调操作。
总的来说,VPN和RDP访问占暗网论坛广告的一半以上,其次是受感染的Citrix VPN设备,占总数的23%。Fortinet、RDWEB和PulseSecure各占0.07%,构成剩余的医疗保健访问列表。
报告指出,这种针对性可能与为应对COVID-19疫情流行而带来的远程访问和云应用程序的加速采用有关,因为这些接入点往往是在没有实施基本安全工具的情况下被采用的。
HC3还概述了迄今为止2022年出现的三个主要勒索软件趋势。医疗保健实体应审查这些内容,以更好地了解整个企业的优先级安全需求。
针对医疗保健行业的主要勒索软件攻击者是LockBit 2.0和Conti,各占2022年上半年全球医疗保健攻击总数的31%。Suncrypt占攻击总数的16%,其次是ALPHV和Hive,均占攻击总数的11%。
最值得注意的是,孔蒂是2021年夏天爱尔兰卫生服务执行官大规模攻击的幕后黑手,该攻击在COVID-19激增期间使该国的医疗保健系统离线数月。最初的成本估计达到了6亿多美元。
HC3警报还警告说,两个有经济动机的团体已经转向勒索软件业务。F1N7在去年年底开始转变,与Maze、Ryuk和最新的运营商之一ALPHV/BlackCat有联系,而2022年4月的报告显示,“据报道,由FIN12进行的勒索软件攻击可以在不到两天的时间内完成,与之前的五天时间段相比,当时该组织首次被发现。”
FIN12专门针对医疗保健行业,利用Ryuk、Beacon、SystemBC和Metasploit变体,并且是“整个2021年看到的一些最多产的入侵行为”的幕后黑手。
勒索软件集团越来越多地使用合法的工具来逃避检测
最后,勒索软件组织在勒索软件入侵期间越来越多地使用合法工具来逃避检测,包括远程访问、加密、文件传输和开源工具。在这些“靠天吃饭”的攻击中,黑客使用来自目标环境的工具,而不是部署定制的工具和恶意软件,从而使他们的行为能够与正常任务相融合。
HC3报告包含常用工具的完整列表,以及相关的检测机会和ATT&CK技术。
尽管今年美国部门报告的与勒索软件相关的破坏要少得多,但到目前为止,该报告证实,黑客正在继续为未来的邪恶活动在幕后工作。因此,HC3敦促行业领导者采用建议的缓解措施,包括减少攻击面和禁用某些不必要的功能。
报告作者写道:“出于经济动机和国家支持的威胁行为者极有可能继续发展他们的策略。”“利用合法工具的‘靠天吃饭’(LotL)技术很难发现,但有可能发现。使用基于行为的方法,现代安全信息和事件管理(SIEM)工具可以检测这些技术。”
他们补充说,尽管鉴于“滥用系统功能,某些类型的攻击无法通过预防措施轻松缓解,但这些技术仍有检测机会的”。
幸运的是,医疗保健部门有很长的资源可供使用,这些资源可以支持缓解主要勒索软件威胁的最佳实践,包括那些来自HHS、Mitre和卫生部门协调委员会网络安全工作组的资源。