Anect: Kyberútoky na zdravotnická zařízení začínají phishingem

27. 4. 2023
Doba čtení: 5 minut

Sdílet

 Autor: Lumina Images @ Fotolia.com
Odborníci upozorňují, že citlivá data útočníci stahují přes Dropbox.

Společnost Anect s odkazem na NÚKIB uvádí, že v České republice dojde každý měsíc v průměru ke dvěma útokům na zdravotnická zařízení a zdravotnictví obecně patří k nejčastějším cílům kybernetických útoků.

Co se dozvíte v článku
  1. Prvotní přístup přes uživatele
  2. Klacky pod nohy hází i zranitelnosti
  3. Útočníky pomůže odhalit automatická analýza chování
  4. Pozor hlavně na klíčové přístupy
  5. Data se stahují i přes Dropbox

Nejhorší následky mají podle odborníků ransomwarové útoky, které mají potenciál zcela přerušit provoz zařízení, a kromě škody ve výši desítek milionů korun ohrozit také bezpečnost pacientů. Základní modus operandi je dle Anectu u ransomwarových útoků vždy stejný.

Útočníci si o napadeném subjektu nejprve získávají informace, následně se dostanou do interních systémů, zde se nějakou dobu rozkoukávají a získávají další informace a privilegia a následně ve vhodnou chvíli přistoupí k samotnému zašifrování dat následované žádostí o výkupné,“ říká Petr Mojžíš, security architect společnosti Anect.

Prvotní přístup přes uživatele

Anect popisuje, že před samotným útokem se jednotlivé organizované skupiny snaží získat o zdravotnickém zařízení co nejvíce informací, ať už na dark webu, nebo z veřejně dostupných zdrojů. Na jejich základě potom přizpůsobují svůj útok na míru dané organizaci.

V této fázi je však prevence poměrně složitá a poměr vynaložených nákladů a jejich přínosů je většinou negativní. „Obecně doporučujeme soustředit se na prevenci v dalších fázích útoku, tedy ztížení vstupu útočníků do interní sítě, omezení možného pohybu útočníků v síti a včasné odhalení případného útoku,“ říká Mojžíš.

Co se týče samotného přístupu do sítě, podle expertů stále platí, že nejčastější vektor útoků vede přes samotné uživatele, a to formou spear phishingu, tedy personalizovaného phishingového útoku zaměřeného na konkrétní uživatele.

Personalizované kampaně jsou velmi účinné a často se jejich obětí stanou i lidé, kteří mají vysoké povědomí o kybernetických rizicích a možných formách útoků. Jejich nebezpečí spočívá v tom, že vypadají jako součást pracovní rutiny oběti,“ popisuje Mojžíš.

Zde je proto potřeba zaměstnance neustále vzdělávat a upozorňovat je na tato rizika, ideálně v interaktivní formě, ve které si mohou vyzkoušet například jak phishingovou kampaň, tak ochranu před touto kampaní,“ dodává.

Klacky pod nohy hází i zranitelnosti

Anect dále uvádí, že mezi další časté vstupní brány do interní sítě patří známé zranitelnosti samotné sítě, například neaktualizované verze operačních systémů či jednotlivých programů a používaných aplikací, případně napadení systémů dodavatele, který má přístup do některých částí sítě.

Podle Mojžíše tomu můžou zdravotnická zařízení do značné míry předcházet klasickým skenem zranitelností. Podle něj jde o poměrně jednoduchý automatizovaný test, který porovnává informace o existujících zranitelnostech se stavem interní sítě nemocnice či jiné organizace.

Pokud srovnáme cenu a efektivitu takových testů, tak se řadí mezi ty účinnější nástroje, kterými lze riziko kybernetického útoku snížit. Samozřejmě, pokud se s nálezy adekvátně pracuje,“ uvádí Mojžíš.

Útočníky pomůže odhalit automatická analýza chování

Jakmile se útočník dostane do sítě, následuje podle bezpečnostních expertů spuštění škodlivého kódu a snaha o jeho zakotvení v interní síti a následnou úpravu tak, aby obešel jednotlivá opatření na její ochranu.

Tzv. Endpoint Detection and Response aplikace monitorují chování koncových bodů a v případě, že se chovají nestandardně, sami reagují nebo upozorní správce sítě nebo dohledové centrum, kde můžou podezřelou aktivitu prozkoumat a případně proti ní zasáhnout.

Na druhou stranu, Anect upozorňuje, že pokud se útočníkům podaří převzít tzv. privilegované účty, tedy účty, které mají v síti výrazně vyšší pravomoci než běžní uživatelé, je i tato část ochrany prolomena.

V tuto chvíli je zásadní, aby organizace měla už předem dobře nastavené řízení těchto privilegovaných účtů. Typicky to znamená, že k určitým úlohám a zařízením se dostane pouze konkrétní člověk z konkrétního zařízení, které se fyzicky nachází uvnitř organizace,“ vysvětluje Mojžíš.

Pozor hlavně na klíčové přístupy

Další fází ransomwarového útoku je podle Anectu Credential Access neboli sběr jakýchkoli přístupů, Dicovery (prozkoumání sítě) a Lateral Movement, tedy přechod na další klíčové prvky jako servery, doménové řadiče apod.

Z naší zkušenosti bohužel vyplývá, že jakmile se u zdravotnických zařízení útočníci dostanou až ke kompromitaci privilegovaných účtů, jejich další cesta už je poměrně jednoduchá,“ podotýká Mojžíš.

Řada interních sítí totiž podle něj bývá poměrně plochá, to znamená, že jednotlivá zařízení spolu mohou jakkoli komunikovat. Útočníkovi tak stačí získat kontrolu nad jedním zařízením a má v zásadě vyhráno.

V tomto bodě je proto podle Mojžíše důležité, aby interní síť byla vhodně segmentovaná a aby existovala jasná pravidla pro to, jaké segmenty spolu jakým způsobem mohu interagovat a případně, jestli jde o jednosměrnou či obousměrnou komunikaci.

Speciálním případem je potom oddělení zastaralých koncových bodů, například počítačů se starými operačními systémy. Ty by měly být od zbytku sítě pokud možno odděleny co nejvíce a při segmentaci by jim měla být věnována zvláštní pozornost.

Data se stahují i přes Dropbox

Anect dále popisuje, že jakmile se útočníci natrvalo a bez odhalení zabydlí v napadené síti, přichází finální část útoku. Tou je často sběr veškerých dat z provozu zdravotnického zařízení, jejich následné stažení (exfiltrace) a finální útok pomocí programu, který zašifruje veškerá data v síti.

Pokud zařízení využívá nějakou z EDR aplikací, existuje podle Mojžíše stále ještě šance na odhalení probíhajícího útoku. Zde je však už potřeba, aby zařízení disponovalo nepřetržitým monitoringem síťového provozu a zároveň mělo aktivní bezpečnostní monitoring.

Mojžíš zároveň dodává, že co se týče exfiltrace dat, existují u zdravotnických zařízení až překvapivě jednoduché metody, jakým způsobem je útočníci stáhnou k sobě. U útoků vedených v databázi Mitre ATT&CK probíhala exfiltrace často přes Dropbox.

V tomto případě by stálo za úvahu, zda používání obdobných úložišť v pracovním prostředí zakázat a nabídnout uživatelům bezpečnou alternativu,“ přemítá Mojžíš. Pokud všechna opatření selžou a útočníci přesto data zašifrují, je důležité mít dobře nastavené zálohování dat.

Toto je jeden z klíčových bodů a je potřeba, aby na to všechny organizace kladly opravdu velký důraz. Všechna výše zmíněná opatření sice snižují riziko úspěšného útoku, ale nikdy ho zcela neeliminují,“ říká Mojžíš.

ICTS24

Dobrá a odolná záloha dat tak nakonec může rozhodnout o tom, jestli a jak rychle se podaří opět zprovoznit všechny systémy a kolik to bude nakonec všechno stát,“ uzavírá.

Zdroj: Anect

Čtěte dále

Gartner: Držte si klobouky, investice do IT v Evropě příští rok vyrostou o 8,7 %
Gartner: Držte si klobouky, investice do IT v Evropě příští rok vyrostou o 8,7 %
eD system bodoval u HPE, je distributorem roku v oblasti SBP
eD system bodoval u HPE, je distributorem roku v oblasti SBP
T-Mobilu mírně klesly tržby, spotřeba dat dál stoupá dvouciferně
T-Mobilu mírně klesly tržby, spotřeba dat dál stoupá dvouciferně
DPD rozšiřuje síť výdejních míst o pobočky České pošty
DPD rozšiřuje síť výdejních míst o pobočky České pošty
GFI Software: Umělá inteligence v IT bezpečnosti automatizuje rutinní činnosti
GFI Software: Umělá inteligence v IT bezpečnosti automatizuje rutinní činnosti
Eset: Češi riskují s daty, podceňují zálohy i bezpečnost
Eset: Češi riskují s daty, podceňují zálohy i bezpečnost