Sağlık sektörünü hedefleyen fidye yazılımı saldırıları, finansal kayıplar ve hasta güvenliği ve operasyonel sürekliliğe yönelik riskler nedeniyle yönetmek için giderek daha zor hale geldi.
Araştırmacılar Anr.run Analiz Fidye yazılımı tehditlerinin sağlık hizmetlerindeki etkisi, kötü şöhretli kilit fidye yazılımı grubunu bir vaka çalışması odağı olarak kullanma, herhangi bir kişinin nasıl etkileşimli kum havuzu ve tehdit zekası (TI) arama dahil olmak üzere gelişmiş araçları, kuruluşların bu tür tespit etmesini, analiz etmesini ve azaltmasını sağlayarak saldırılar.
Kuşatma altındaki sağlık sektörü
Sağlık kuruluşları hassas hasta verilerini ele alır, bu da onları fidye yazılımı aktörleri için özellikle çekici hedefler yapar. Son büyük olaylar şunları içerir:
- UnitedHealth: 190 milyon kayıt ihlali, en büyük sağlık saldırılarından birini işaret ediyor.
- Yükselme: Siyah Basta fidye yazılımı 5.6 milyon hastayı etkiledi.
- Kootenai Sağlığı: 464.000 hasta kaydı sızdırdı.
- ConnectonCall: SAAS sistemi 910.000’den fazla hastanın maruz kalan sağlık verilerini ihlal etmek.
- Anna Jaques Hastanesi: 316.000 hasta için saldırıya uğrayan tıbbi hizmetler ve maruz kalan veriler.
Sağlık hizmetleri, çeşitli faktörler nedeniyle siber saldırılar için ana hedef haline gelmiştir. Hasta kayıtları son derece değerlidir ve karaborsa önemli fiyatlar getirerek onları siber suçlular için cazip bir hedef haline getirir.
Buna ek olarak, sağlık hizmetlerinin kritik doğası, kesinti süresinin hasta bakımını doğrudan etkilediği ve organizasyonlara operasyonları geri yüklemek için fidye ödemeleri için baskı yapması anlamına gelir.
Sektördeki sınırlı bütçeler, tıbbi hizmetleri sağlam BT savunmalarına göre önceliklendirme eğilimindedir ve birçok sağlık kuruluşunu zayıf siber güvenlik duruşlarına bırakır. Ayrıca, müdahalelerin gecikmiş tespiti, fidye yazılımlarının daha kapsamlı bir şekilde yayılmasını, etkisini ve potansiyel iyileşme maliyetini artırmasını sağlar.
Proaktif Tehdit Analizini herhangi biriyle entegre edin. Şirketinizin güvenliğini güçlendirmek için RUN-14 günlük ücretsiz deneme alın
Interlock Fidye Yazılımı Grubunda Spotlight
Interlock, çift uzatma teknikleri kullanır, verileri şifreleyin ve talepler karşılanmazsa kamuoyunu tahliye eder. 2024’ün sonlarında önemli saldırılar dahildir.
Ekim 2024’te Brockton Mahalle Sağlık Merkezi, Aralık ayına kadar tespit edilmeyen bir ihlal yaşadı ve tanımlamada önemli bir gecikme oldu.
Benzer şekilde, Legacy Tedavi Hizmetleri 26 Ekim 2024 tarihinde bir saldırı tespit ederken, uyuşturucu ve alkol tedavi hizmeti 24 Ekim 2024’te sadece günler önce bir uzlaşma ile karşı karşıya kaldı.
Bu olaylar, sağlık kuruluşlarını hedefleyen sürekli tehditlerin ve zamanında tespit ve yanıtta karşılaştıkları zorlukların altını çizmektedir.
Run’un Araçları Siber Güvenliği Güçlendirme
1. İlk Uzlaşma Tespiti (TA0001): Drive-by uzlaşma
Interlock, kötü amaçlı yazılım dağıtmak için yazılım güncelleme merkezleri olarak gizlenmiş kimlik avı web sitelerini kullandı. Gibi bir alan adı apple-online.shop kamuoyu raporlarından yaklaşık bir ay önce herhangi biri tarafından işaretlendi.
- İnteraktif kum havuzu: Analistler, kötü amaçlı web sitesinin kullanıcıları kötü amaçlı yazılımları indirmeye nasıl çektiğini gözlemlemek için sanal bir makine ile etkileşime girebilir.
- Tehdit İstihbaratı (TI) Arama: Belirlenen kötü niyetli alanlar ve dosyalar (örn.,
MSTeamsSetup.exe) Önceden, sağlık kuruluşlarının rahatsız edici siteleri engellemesine izin veriyor.
Bilinen saldırı modellerinde genişletildi, Aşağıdakiler gibi rastgele adlandırma modelleri ile ek dosyaları ortaya çıkarmak
upd_1416836.exe- SHA256 Hashes:
8d911ef72bdb4...
Collect threat intelligence with TI Lookup to improve your company’s security - Get 50 Free Request
Herhangi bir.Run, son kilit fidye yazılımı saldırılarında kullanılan taktiklere ışık tuttu, İnteraktif kum havuzu ve Tehdit İstihbarat Araması, kullanıcıların kötü amaçlı web sitelerini ve dosyaları gerçek zamanlı olarak analiz etmelerini, kritik uzlaşma göstergelerini (IOCS) ortaya çıkarmasını ve eyleme geçirilebilir bilgiler sağlamasını sağlar.
RUN’un etkileşimli sanal alanını kullanarak kuruluşlar, kurbanları hedeflemek için kullanılan aldatıcı içerik de dahil olmak üzere kötü amaçlı web sitelerinin davranışlarını görüntüleyebilir.
Örneğin, Bu oturumdaInterlock, popüler uygulamalar için güncellemeler gibi, kullanıcıları kötü amaçlı yazılım indirmek için kandırmak için meşru görünecek şekilde tasarlanmış sahte web sitelerinden yararlandı. Bu taktikleri analiz ederek sağlık kuruluşları, çalışanları gelecekte bu tür tehditleri tanımaları ve bunlardan kaçınmaları için eğitebilir.
Any.Run’un Analizi Saldırganlar başlangıçta kötü amaçlı yazılımlarını Google Chrome güncelleyici olarak gizlerken, Microsoft Teams ve Microsoft Edge gibi diğer uygulamaları da taklit ettiklerini ortaya koydu.
Sahte güncelleme dosyaları gibi Msteamssetup.exe Ve Microsoftedgesetup.exesoruşturma sırasında tespit edildi, kilit tarafından kullanılan bilinen taktikler genişletildi. Yöntemlerinin bu daha geniş anlayışı, kuruluşları daha geniş bir dosya kılık değiştirme aralığına karşı öngörmeye ve savunmaya donatır.
Ayrıntılı IOC analizi
RUN’un veritabanı, Interlock’un saldırılarında kullanılan belirli dosyaları da tanımladı.
Raporlar daha önce vurgulanırken upd_2327991.exeek dosyalar gibi upd_816295.exe Ve upd_1416836.exehepsi benzersiz alfasumerik adlandırma modellerine sahip keşfedildi.
Her dosyanın, kötü niyetli etkinliği tanımlamak ve engellemek için kritik IOC’ler görevi gören farklı SHA256 karma değerleri vardı.
- 8d911ef72bdbb4ec5b99b7548c0c0c89ffc86390684a5e2b684d78504550927
- 97105ED172E5202BC219D99980BBD01C3DD7CD5F5AC29CA96C5A09CAA8AF67
2. Yürütme aşaması (TA0002)
Kötü amaçlı dosyalar indirildikten sonra, Interlock, yükleri yürütmek için meşru yazılım olarak gizlenmiş uzaktan erişim araçlarını (sıçan) kullandı.
- Sıçan analizi: Sandbox oturumları ortaya çıkarıldı Saldırganlar tarafından iletişim için kullanılan şifreli URL’ler (örneğin, kötü amaçlı yazılım yapılandırmalarında bulunan xor şifreli URL’ler).
- Çocuklar Arıyor: Grup tarafından kullanılan 40’tan fazla ek kötü amaçlı dosyayı tanımlamak için el sanatları algılama kurallarına yardımcı oldu.
Yara Kural Örneği:
rule Interlock_RAT {
strings:
$ = "/MSTeamsSetup.exe\\" xor
condition:
any of them
}
Yürütme sırasındaHerhangi bir.Run kullanıcılara yardımcı olur:
- IOCS’yi keşfedin: Yapılandırmalarda bulunanlar da dahil olmak üzere ek dosya ve ağ IOC’leri bulun.
- Bilinmeyen tehditleri bulun: Daha önce bilinmeyen tehditleri keşfedin.
- Tehditleri analiz et: Şüpheli URL’leri güvenli bir şekilde keşfedin ve yükleri patlatın.
3. Kimlik Bilgisi Erişim (TA0006)
Interlock, kullanıcı adlarını, şifreleri ve diğer hassas verileri toplamak için özel bir kimlik bilgisi çalma aracı kullandı. Çalıntı kimlik bilgileri gibi dosyalar halinde saklandı chrgetpdsi.txt.
RUN’un TI LoAgup, erken uyarılar sağlayarak, halka açık olaylardan aylar önce kötü amaçlı stealer aracını tespit etti.
4. Yanal hareket (TA0008)
Kilitli kullanılan araçlar gibi Macun– AnydeskVe RDP Ağlar içindeki erişimlerini genişletmek için. Herhangi biriyle sanal alan analizi, yanlış kullanıldığında bu araçları işaretledi.
Temel Özellikler:
- Tespit: Meşru yönetici araçlarının kötü niyetli kullanımı işaretlendi.
- Davranışsal Analizler: Analistler, iç savunmaları iyileştirmek için yanal hareket modellerini izleyebilirler.
5. Veri Defiltrasyonu (TA0010)
Son aşama, Azure Cloud depolama yoluyla saldırgan kontrollü sunuculara verilerin eksfiltrasyonunu içeriyordu.
- Trafik izleme: Herhangi bir.Run Sandbox, saldırgan sunucularına giden trafiği yakaladı (örneğin,
217[.]148[.]142[.]19443 bağlantı noktası üzerinden). - Veri şifre çözme: CyberChef gibi araçları kullanarak analistler, gönderilen kesin verileri tanımlamak için günlükleri şifreledi.
Sağlık Güvenliği için herhangi birinin temel avantajları
Any. run Dünya çapında 500.000’den fazla siber güvenlik uzmanına yardımcı oluyor. Etkileşimli sanal alanımız, hem Windows hem de Linux sistemlerini hedefleyen tehditlerin kötü amaçlı yazılım analizini basitleştirir.
Interlock Grubu tarafından olanlar gibi fidye yazılımı saldırıları, sağlık hizmetlerinde sağlam tehdit tespiti ve analiz araçlarının aciliyetini vurgulamaktadır.
Herhangi bir.Run’un etkileşimli sanal alan Ve Tehdit İstihbarat Arama Siber güvenlik hazırlıklı kritik boşlukları köprü, sağlık kuruluşlarının tehditleri erken tanımlamasını ve bunları etkili bir şekilde anlamalarını ve azaltmasını sağlıyor.
| Temel avantaj | Tanım |
|---|---|
| Tehdit anlayışı | Kötü niyetli göstergeleri gerçek tehditlere sabitleyin ve kuruluşunuzun karşılaştığı risklerin daha net bir şekilde anlaşılmasını sağlayın. |
| Derinlemesine raporlama | Uzlaşma göstergeleri (IOC’ler), taktikler, teknikler ve prosedürler (TTPS) ve kötü amaçlı yazılım davranış özetleri ile ayrıntılı raporlar alın. |
| Verimli tehdit analizi | SOC ekibi üyeleri için her seviyedeki tehdit analizini basitleştirin ve hızlandırın, zamandan tasarruf edin ve üretkenliği artırın. |
| Daha hızlı uyarı triyajı | Uyarı triyaj işlemini hızlandırın ve hızlı işlemler, kullanıcı dostu bir arayüz ve akıllı otomasyon ile iş yüklerini azaltın. |
| Özel ve Güvenli Analiz | Hassas verileri özel modda güvenli bir şekilde inceleyerek siber güvenlik ve veri koruma gereksinimlerine uyum sağlayın. |
| Kapsamlı kötü amaçlı yazılım bilgileri | Olay yanıtını kolaylaştırmak için tehditlerin daha iyi anlaşılmasını sağlayarak kötü amaçlı yazılım davranışı hakkında ayrıntılı bilgiler kazanın. |
| Takım İşbirliği | Ekip üyeleriyle işbirliği yapın, analiz sonuçlarını paylaşın ve olay işleme sırasında çabaları etkili bir şekilde koordine edin. |
| Maliyet optimizasyonu | Gelişmiş algılama ve koruma yöntemleri geliştirmek için ayrıntılı verilerden ve herhangi birinden yararlanarak olay tepkisi maliyetlerini azaltın. |
Sağlık kuruluşları için, Any.Run gibi hizmetlerden yararlanmak, gelişmekte olan siber tehditlere karşı savunmaları desteklemek için uygun maliyetli, eyleme geçirilebilir bir yaklaşım sunmaktadır.
Ücretsiz bir deneme isteyin RUN’un kritik altyapınızı fidye yazılımı tehditlerine karşı nasıl koruyabileceğini araştırmak için.