تغيير محتمل في الابتزاز المزدوج للرعاية الصحية، وإعادة تنظيم LockBit والمزيد – TechToday

أصبح من الواضح عبر مشهد الأمن السيبراني للرعاية الصحية هذا الأسبوع أن شبح هجوم الابتزاز المزدوج المحتمل من قبل RansomHub يلوح في الأفق على Change Healthcare، في أعقاب الهجوم الإلكتروني الذي شنته ALPHV في فبراير.

علاوة على ذلك، تبدأ زوبعة من الأخبار على LockBit قصة معقدة عن التجسس الدولي والتهديدات الجديدة المحتملة لمؤسسات الرعاية الصحية من هذه المجموعة. لقد تحدثنا إلى العديد من قادة الأمن السيبراني هذا الأسبوع للتعرف على الوجبات السريعة في مجال الرعاية الصحية.

ابتزاز مزدوج من أجل تغيير الرعاية الصحية

أفادت مصادر متعددة أن مجموعة برامج الفدية كخدمة RansomHub ادعت حيازة 4 تيرابايت من بيانات Change Healthcare المسروقة وكانت تهدد بنشرها للعامة ما لم يتم دفع فدية.

وقال جويل بورليسون ديفيس، نائب الرئيس الأول للهندسة العالمية للإنترنت في شركة Imprivata، عبر البريد الإلكتروني يوم الجمعة: “يبدو الابتزاز المزدوج في الواقع يتماشى تمامًا مع ما قد يفعلونه”.

“الديناميكية الأخرى هي أن هذه نماذج أعمال، لذا إذا أرادوا دفع تعويضات، فعليهم الالتزام بجانبهم من الصفقة، وهو ما يشبه حالة العقد. وأوضح أن الابتزاز المزدوج يشبه سيناريو المخاطرة/المكافأة لنموذج أعمالهم المستقبلي.

الشهر الماضي، SOCRadar نشرت ملفًا شخصيًا لـ RansomHub وذكرت أنه، على النقيض من مجموعات برامج الفدية الأخرى، يتم إرسال مدفوعات الفدية الخاصة بالمجموعة في البداية إلى الشركات التابعة مقابل 90%.

وفي الوقت نفسه، قالت vx-underground، وهي عبارة عن مجموعة من عينات ومعلومات التعليمات البرمجية المصدرية للبرامج الضارة، وفقًا لملف تعريف X الخاص بها، يوم الاثنين أن الشركات التابعة لـ ALPHV انتقلت إلى RansomHub.

“قم بتغيير Healthcare وUnitedHealth، لديك فرصة واحدة لحماية بيانات عملائك. “لم يتم تسريب البيانات في أي مكان وأي معلومات استخباراتية جيدة عن التهديدات ستؤكد أنه لم تتم مشاركة البيانات أو نشرها”، حسبما زُعم أن المجموعة نشرت يوم الاثنين، وفقًا للقطة شاشة شاركتها مجموعة تسمى Dark Web Informer على X.

وأضافت المجموعة أيضًا على صفحة موقع RansomHub المظلمة المزعومة: “لدينا البيانات وليس ALPHV”.

أعلنت وزارة العدل أنها استولت على ALPHV Blackcat في ديسمبر، ولكن بعد ذلك أعلنت مجموعة Blackcat مسؤوليتها عن هجوم Change Healthcare في فبراير وأفادت بأن لديها سجلات طبية وتأمينية وسجلات طب الأسنان، إلى جانب بيانات الدفع والمطالبات ومعلومات التعريف الشخصية للمرضى. جنبا إلى جنب مع بيانات أفراد الجيش / البحرية الأمريكية.

في شهر مارس، أدرجت ALPHV مبلغ الفدية المدفوعة، وتم إغلاق الموقع بمصادرة ثانية لإنفاذ القانون، بعد إشعارات رفضت وكالات التحقيق نشرها.

سواء كانت المجموعة عبارة عن مجموعة ذات صلة أو غير مرتبطة من الجهات الفاعلة في مجال التهديد التي تحاول إقناع UnitedHealth Group بدفع أكثر من 22 مليون دولار من عملة البيتكوين التي ربما تكون قد دفعتها بالفعل للمساعدة في استعادة أنظمة Change Healthcare وتخفيف الضغط على مقدمي الخدمة بعد انقطاع برامج الفدية، فإن احتمال حدوث ذلك إن تسريب المجموعة الهائلة من البيانات الصحية المحمية أمر مثير للقلق بالنسبة لنظام الرعاية الصحية بأكمله.

قال جريج سورلا أخبار تكنولوجيا المعلومات الرعاية الصحية يوم الخميس، يعتبر خطر حدوث مثل هذا الاختراق واسع النطاق للبيانات في مؤسسات الرعاية الصحية “معقدًا ومثيرًا للقلق”.

وأكد عبر البريد الإلكتروني أن “هذا التهديد الجديد المتمثل في كشف البيانات من طرف ثانٍ يعزز أهمية التخطيط لاستمرارية الأعمال، حيث قد يكون من الصعب التنبؤ بموعد انتهاء الهجوم فعليًا”.

“علاوة على ذلك، فإن التطورات الأخيرة تزيد من الحاجة إلى ضمان حماية المعلومات الصحية المحمية باستخدام ضوابط أمنية قوية، تتماشى مع أفضل ممارسات الصناعة ويتم الإبلاغ عن أي انتهاكات إلى [U.S. Health and Human Services] والأفراد المتأثرين دون تأخير كبير بعد الانتهاك.

وأضاف بورليسون ديفيس أن سيناريو الابتزاز المزدوج المحتمل هو “لماذا نحتاج إلى المزيد من القواعد التنظيمية حول وصول الطرف الثالث” وبرامج أمنية قوية، مثل أدوات إدارة الوصول المميزة، التي “يمكن أن تتجنب بعض هذه الأشياء”.

“[UHG] من المحتمل أن يكون قد قام بأكبر قدر ممكن من الطب الشرعي، وإذا كان لديهم خرق ثانٍ لم يتم اكتشافه، فمن الممكن أن يكون الممثل الثاني هو الممثل. ولكن ماذا يعني أنه لا يوجد ثالث أو رابع؟ وأوضح ل أخبار تكنولوجيا المعلومات الرعاية الصحية.

وأضاف: “حقيقة أن هناك نشاطًا إضافيًا يبدو وكأنه اختراق ثانٍ أو ابتزاز مزدوج يعني أنهم ما زالوا في خضم هذا ولم يخرجوا من الغابة بعد”. “إذا كان هناك العديد من الجهات الفاعلة المختلفة الموجودة في نظامهم الآن، فإن الطريق إلى التعافي سيكون أطول وأكثر تكلفة بكثير وأكثر تأثيرًا.

“كيف يعرفون أنهم نظيفون؟ وهذا يخلق ملفًا ضخمًا للمخاطر.

وسائل الإعلام SC أشارت في تقريرها يوم الاثنين إلى أن RansomHub تمنح UHG وOptum 12 يومًا للدفع، أو ستقوم بتسريب بيانات Change Healthcare.

الباحثون يكشفون LockBit

في فبراير، أعلنت وزارة العدل ومكتب التحقيقات الفيدرالي الأمريكي عن تعاون فريق دولي من مسؤولي إنفاذ القانون من خلال حملة دفاعية منسقة تقودها الحكومة ضد برامج الفدية تسمى “عملية كرونوس” واستولى على خوادم عصابة Lockbit لبرامج الفدية، مما يوفر أدوات فك التشفير للعديد من المنظمات عبر القطاعات.

يبدو أن Lockbit، وهي مجموعة برامج فدية معروفة بمهاجمة مؤسسات الرعاية الصحية – على الرغم من اعتذارها لشركة SickKids ومقرها تورونتو وعرضت أداة فك التشفير في عام 2023 – لن تسقط دون قتال.

في الأسبوع الماضي، أصدرت Trend Micro تفاصيل حول كيفية عمل LockBit بعد تعطيل عملية Cronos. وقالت الشركة، أثناء محاولتها البقاء على قيد الحياة مع إصدار جديد، حيث أن المجموعة تعمل على الأرجح على LockBit 4.0، ربما تكون قد أصدرت مؤخرًا الإصدار LockBit-NG-Dev.

وبعد البحث عن الجهات الفاعلة التهديدية المرتبطة بالمجموعة، قال باحثو تريند مايكرو إنهم يشككون في قدرة LockBit على جذب كبار الشركات التابعة، بناءً على إخفاقات المجموعة “اللوجستية والفنية والمتعلقة بالسمعة” في عام 2023.

كانت هناك أيضًا تكهنات يوم الخميس بأن LockBit قد تم تغيير علامتها التجارية إلى DarkVault، وفقًا لما ذكره أ أخبار الإنترنت تقرير.

وفي الوقت نفسه، قال مصدر لم يذكر اسمه لبلومبرج يوم الأربعاء إن محققي إنفاذ القانون ربطوا الأسماء المستعارة التي تستخدمها عصابة قرصنة LockBit بأفراد محددين، ويقومون بتعقب قائمة تضم 200 دليل لشركاء LockBit.

وقالت وزارة العدل أيضًا، عندما أعلنت الاستيلاء على أصول LockBit، إنها كشفت عن لوائح اتهام في نيوجيرسي وكاليفورنيا للمواطنين الروس أرتور سونجاتوف وإيفان كوندراتييف، المعروفين أيضًا باسم المجرم الإلكتروني Bassterlord، لنشر LockBit ضد العديد من الضحايا في جميع أنحاء الولايات المتحدة. .

سونجاتوف وكوندراتييف ليسا محتجزين ولكن تم فرض عقوبات عليهما من قبل وزارة الخزانة الأمريكية، وفقًا لقصة نشرت في فبراير في TechCrunch، مما يعني أن أي اتصال من قبل أي شركة أو فرد أمريكي بالدفع لهما يعرضك لخطر الغرامات و/أو الملاحقة الجنائية.

تضاعفت Microsoft CVEs في أبريل

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية توجيهًا طارئًا الأسبوع الماضي لمعالجة التأثير على الوكالات الفيدرالية نتيجة لانتهاك Microsoft.

قالت CISA في إعلان 2 أبريل: “قام الممثل السيبراني الذي ترعاه الدولة الروسية والمعروف باسم Midnight Blizzard بتسريب مراسلات البريد الإلكتروني بين وكالات السلطة التنفيذية المدنية الفيدرالية ومايكروسوفت من خلال اختراق ناجح لحسابات البريد الإلكتروني لشركة Microsoft”.

وقالت أكبر وكالة للأمن السيبراني في الولايات المتحدة إن وكالات FCEB مطالبة “بتحليل محتوى رسائل البريد الإلكتروني المسربة، وإعادة تعيين بيانات الاعتماد المخترقة، واتخاذ خطوات إضافية لضمان أمان أدوات المصادقة لحسابات Microsoft Azure المميزة”.

إنه شهر كبير بالنسبة لنقاط الضعف والتعرضات الأمنية الشائعة لدى Microsoft والتي يجب على جميع القطاعات، بما في ذلك تكنولوجيا معلومات الرعاية الصحية، الانتباه إليها.

قال تايلر ريجولي، كبير مديري البحث والتطوير الأمني ​​في شركة Fortra الأمنية، يوم الثلاثاء من هذا الأسبوع إن 149 من التهديدات الخطيرة التي أصدرتها Microsoft في أبريل ستبقي الشركات مشغولة.

وقال عبر البريد الإلكتروني: “لقد رأينا 56 و73 و61 من أدوات مكافحة التطرف العنيف التي أصدرتها مايكروسوفت لشهر يناير وفبراير ومارس”.

“الأمر الأكثر بروزًا هو أن ثلث نقاط الضعف تشير إما إلى Microsoft Security Boot أو Microsoft SQL Server. بالإضافة إلى ذلك، ميزات Azure، بما في ذلك Microsoft Defender لـ [Internet of Things]وأضاف: “تمثل 15 من برامج مكافحة التطرف العنيف التي تم تصحيحها هذا الشهر”.

أندريا فوكس هي محررة أولى في Healthcare IT News.
البريد الإلكتروني: afox@himss.org
أخبار تكنولوجيا معلومات الرعاية الصحية هي إحدى منشورات وسائل الإعلام التابعة لشركة HIMSS.