Hlavní navigace
ChannelWorld  »  Názory & Analýzy  »  Anect: Kyberútoky na zdravotnická zařízení začínají phishingem

Anect: Kyberútoky na zdravotnická zařízení začínají phishingem

Zuzana Peroutková Bičíková
27. 4. 2023
Doba čtení: 5 minut

Sdílet

Autor: Lumina Images @ Fotolia.com
Odborníci upozorňují, že citlivá data útočníci stahují přes Dropbox.

Společnost Anect s odkazem na NÚKIB uvádí, že v České republice dojde každý měsíc v průměru ke dvěma útokům na zdravotnická zařízení a zdravotnictví obecně patří k nejčastějším cílům kybernetických útoků.

Nejhorší následky mají podle odborníků ransomwarové útoky, které mají potenciál zcela přerušit provoz zařízení, a kromě škody ve výši desítek milionů korun ohrozit také bezpečnost pacientů. Základní modus operandi je dle Anectu u ransomwarových útoků vždy stejný.

Útočníci si o napadeném subjektu nejprve získávají informace, následně se dostanou do interních systémů, zde se nějakou dobu rozkoukávají a získávají další informace a privilegia a následně ve vhodnou chvíli přistoupí k samotnému zašifrování dat následované žádostí o výkupné,“ říká Petr Mojžíš, security architect společnosti Anect.

Co se dozvíte v článku
  1. Prvotní přístup přes uživatele
  2. Klacky pod nohy hází i zranitelnosti
  3. Útočníky pomůže odhalit automatická analýza chování
  4. Pozor hlavně na klíčové přístupy
  5. Data se stahují i přes Dropbox

Prvotní přístup přes uživatele

Anect popisuje, že před samotným útokem se jednotlivé organizované skupiny snaží získat o zdravotnickém zařízení co nejvíce informací, ať už na dark webu, nebo z veřejně dostupných zdrojů. Na jejich základě potom přizpůsobují svůj útok na míru dané organizaci.

V této fázi je však prevence poměrně složitá a poměr vynaložených nákladů a jejich přínosů je většinou negativní. „Obecně doporučujeme soustředit se na prevenci v dalších fázích útoku, tedy ztížení vstupu útočníků do interní sítě, omezení možného pohybu útočníků v síti a včasné odhalení případného útoku,“ říká Mojžíš.

Co se týče samotného přístupu do sítě, podle expertů stále platí, že nejčastější vektor útoků vede přes samotné uživatele, a to formou spear phishingu, tedy personalizovaného phishingového útoku zaměřeného na konkrétní uživatele.

Personalizované kampaně jsou velmi účinné a často se jejich obětí stanou i lidé, kteří mají vysoké povědomí o kybernetických rizicích a možných formách útoků. Jejich nebezpečí spočívá v tom, že vypadají jako součást pracovní rutiny oběti,“ popisuje Mojžíš.

Zde je proto potřeba zaměstnance neustále vzdělávat a upozorňovat je na tato rizika, ideálně v interaktivní formě, ve které si mohou vyzkoušet například jak phishingovou kampaň, tak ochranu před touto kampaní,“ dodává.

Klacky pod nohy hází i zranitelnosti

Anect dále uvádí, že mezi další časté vstupní brány do interní sítě patří známé zranitelnosti samotné sítě, například neaktualizované verze operačních systémů či jednotlivých programů a používaných aplikací, případně napadení systémů dodavatele, který má přístup do některých částí sítě.

Podle Mojžíše tomu můžou zdravotnická zařízení do značné míry předcházet klasickým skenem zranitelností. Podle něj jde o poměrně jednoduchý automatizovaný test, který porovnává informace o existujících zranitelnostech se stavem interní sítě nemocnice či jiné organizace.

Pokud srovnáme cenu a efektivitu takových testů, tak se řadí mezi ty účinnější nástroje, kterými lze riziko kybernetického útoku snížit. Samozřejmě, pokud se s nálezy adekvátně pracuje,“ uvádí Mojžíš.

Útočníky pomůže odhalit automatická analýza chování

Jakmile se útočník dostane do sítě, následuje podle bezpečnostních expertů spuštění škodlivého kódu a snaha o jeho zakotvení v interní síti a následnou úpravu tak, aby obešel jednotlivá opatření na její ochranu.

Tzv. Endpoint Detection and Response aplikace monitorují chování koncových bodů a v případě, že se chovají nestandardně, sami reagují nebo upozorní správce sítě nebo dohledové centrum, kde můžou podezřelou aktivitu prozkoumat a případně proti ní zasáhnout.

Na druhou stranu, Anect upozorňuje, že pokud se útočníkům podaří převzít tzv. privilegované účty, tedy účty, které mají v síti výrazně vyšší pravomoci než běžní uživatelé, je i tato část ochrany prolomena.

V tuto chvíli je zásadní, aby organizace měla už předem dobře nastavené řízení těchto privilegovaných účtů. Typicky to znamená, že k určitým úlohám a zařízením se dostane pouze konkrétní člověk z konkrétního zařízení, které se fyzicky nachází uvnitř organizace,“ vysvětluje Mojžíš.

Pozor hlavně na klíčové přístupy

Další fází ransomwarového útoku je podle Anectu Credential Access neboli sběr jakýchkoli přístupů, Dicovery (prozkoumání sítě) a Lateral Movement, tedy přechod na další klíčové prvky jako servery, doménové řadiče apod.

Z naší zkušenosti bohužel vyplývá, že jakmile se u zdravotnických zařízení útočníci dostanou až ke kompromitaci privilegovaných účtů, jejich další cesta už je poměrně jednoduchá,“ podotýká Mojžíš.

Řada interních sítí totiž podle něj bývá poměrně plochá, to znamená, že jednotlivá zařízení spolu mohou jakkoli komunikovat. Útočníkovi tak stačí získat kontrolu nad jedním zařízením a má v zásadě vyhráno.

V tomto bodě je proto podle Mojžíše důležité, aby interní síť byla vhodně segmentovaná a aby existovala jasná pravidla pro to, jaké segmenty spolu jakým způsobem mohu interagovat a případně, jestli jde o jednosměrnou či obousměrnou komunikaci.

Speciálním případem je potom oddělení zastaralých koncových bodů, například počítačů se starými operačními systémy. Ty by měly být od zbytku sítě pokud možno odděleny co nejvíce a při segmentaci by jim měla být věnována zvláštní pozornost.

Data se stahují i přes Dropbox

Anect dále popisuje, že jakmile se útočníci natrvalo a bez odhalení zabydlí v napadené síti, přichází finální část útoku. Tou je často sběr veškerých dat z provozu zdravotnického zařízení, jejich následné stažení (exfiltrace) a finální útok pomocí programu, který zašifruje veškerá data v síti.

Pokud zařízení využívá nějakou z EDR aplikací, existuje podle Mojžíše stále ještě šance na odhalení probíhajícího útoku. Zde je však už potřeba, aby zařízení disponovalo nepřetržitým monitoringem síťového provozu a zároveň mělo aktivní bezpečnostní monitoring.

Mojžíš zároveň dodává, že co se týče exfiltrace dat, existují u zdravotnických zařízení až překvapivě jednoduché metody, jakým způsobem je útočníci stáhnou k sobě. U útoků vedených v databázi Mitre ATT&CK probíhala exfiltrace často přes Dropbox.

V tomto případě by stálo za úvahu, zda používání obdobných úložišť v pracovním prostředí zakázat a nabídnout uživatelům bezpečnou alternativu,“ přemítá Mojžíš. Pokud všechna opatření selžou a útočníci přesto data zašifrují, je důležité mít dobře nastavené zálohování dat.

Toto je jeden z klíčových bodů a je potřeba, aby na to všechny organizace kladly opravdu velký důraz. Všechna výše zmíněná opatření sice snižují riziko úspěšného útoku, ale nikdy ho zcela neeliminují,“ říká Mojžíš.

ICTrocenka

Dobrá a odolná záloha dat tak nakonec může rozhodnout o tom, jestli a jak rychle se podaří opět zprovoznit všechny systémy a kolik to bude nakonec všechno stát,“ uzavírá.

Zdroj: Anect

  • Našli jste v článku chybu?

Byl pro vás článek přínosný?

Líbí
Nelíbí

Autor článku

Zuzana Bičíková

Zuzana Peroutková Bičíková

Témata:

Čtěte dále

Kulatý stůl o kyberbezpečnosti: Technologická připravenost a lidská důvěra (2. díl)
Kulatý stůl o kyberbezpečnosti: Technologická připravenost a lidská důvěra (2. díl)
Dell: Většina českých firem počítá s tím, že AI ovlivní jejich budoucnost
Dell: Většina českých firem počítá s tím, že AI ovlivní jejich budoucnost
Salesforce: O důvěře v AI rozhodne kvalita a přesnost generovaných dat
Salesforce: O důvěře v AI rozhodne kvalita a přesnost generovaných dat
Brother ocenil AT Computers za spolupráci
Brother ocenil AT Computers za spolupráci
iBusiness Thein překročil v tržbách 100 milionů Kč, spouští online portál pro firemní zákazníky
iBusiness Thein překročil v tržbách 100 milionů Kč, spouští online portál pro firemní zákazníky
Fortinet: Drtivá většina firem má obavy o zabezpečení cloudů, chybí odborníci
Fortinet: Drtivá většina firem má obavy o zabezpečení cloudů, chybí odborníci

ChannelWorld Newsletter

Objednejte si zdarma náš pravidelný informační newsletter se souhrnem nejzajímavějších zpráv a článků.

Objednat

Mohlo by vás zajímat

Speciální projekty

Promoakce

Partnerská setkání a semináře

Press room

Dále u nás najdete

Google spustil český obchod Google Store

Michaela Kališová (Geetoo): Měníme pravidla hry IT recruitingu

Česká pošta dá na poštovní známky smajlíky

Rusové útočí v kyberprostoru nejen na ČR

Pro koho jsou vhodné investice do nemovitostních fondů?

Co je to účtová osnova a účtový rozvrh?

O důvěře v AI rozhodne kvalita a přesnost generovaných dat

Lagris varuje před vlastní rýží, našli v ní velké množství pesticidů

Nová verze ChatGPT je tady, umí i třeba hlas

Menopauzu nemusíte protrpět, příznaky se dají zmírnit

Část nemocnic přijde o lůžka, některá oddělení skončí

Většina českých firem počítá s tím, že jejich budoucnost ovlivní AI

Upíři v Čechách, podivné hroby a kněžna, která pila vlčí mléko

Německá sekta se živila jen kokosy, špatně dopadla

K hromadnému úprku dohodářů na IČO nedošlo, počet OSVČ roste

Stravování důchodců opět bez komplikací. Opomenutí napraveno

Mohou AI nástroje pomoci snížit únavu ze Zoomu?

Většina pacientů s melanomem jsou blonďáci s modrýma očima

Úvodní díl podcastové série o kybernetické bezpečnosti

„Dohody“ budou nakonec jinak. Stát ustoupil od nesmyslu