Ειδικοί ασφαλείας προειδοποιούν τους οργανισμούς που ανήκουν στον τομέα Υγείας και Δημόσιας Υγείας (HPH) για αυξημένες κυβερνοεπιθέσεις που σχετίζονται με το Akira ransomware. Έχουν αποκαλυφθεί τουλάχιστον 81 επιθέσεις από τότε που εντοπίστηκε το ransomware τον Μάιο του 2023. Αξίζει να σημειωθεί ότι αυτή είναι η δεύτερη ειδοποίηση που εκδίδεται από το Health Sector Cybersecurity Coordination Center του Υπουργείου Υγείας των ΗΠΑ, τους τελευταίους 6 μήνες. Η πιο πρόσφατη ειδοποίηση περιλαμβάνει και νέες πληροφορίες για τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) που χρησιμοποιεί η ransomware συμμορία.
Η πλειονότητα των θυμάτων του Akira ransomware βρίσκεται στις Ηνωμένες Πολιτείες και κυρίως στην Καλιφόρνια, στο Τέξας, στο Ιλινόις και σε πολιτείες στην Ανατολική Ακτή, ειδικά στη βορειοανατολική. Η ομάδα έχει στοχεύσει πολλούς τομείς: υλικά, κατασκευή, αγαθά και υπηρεσίες, κατασκευές, εκπαίδευση, οικονομικά, νομική και υγειονομική περίθαλψη.
Δείτε επίσης: Akira και 8Base οι πιο «επιτυχείς» συμμορίες ransomware του 2023
Το Akira είναι μια λειτουργία ransomware-as-a-service (RaaS) που πιστεύεται ότι έχει δεσμούς με την ομάδα ransomware Conti. Η Conti ήταν μια από τις πιο δημοφιλείς και παραγωγικές ομάδες ransomware, μέχρι που διέρρευσαν εσωτερικές συνομιλίες και ο source code του κακόβουλου λογισμικού το 2022.
Οι τεχνικές και τακτικές που χρησιμοποιεί η ransomware συμμορία Akira (για τις επιθέσεις στους οργανισμούς υγείας και αλλού) έχουν αρκετά κοινά στοιχεία με αυτές του Conti, γεγονός που υποδηλώνει ότι οι ομάδες συνδέονται και ότι η Akira είναι εξίσου ικανή ομάδα απειλών. Το 2017, εντοπίστηκε μια άλλη παραλλαγή ransomware που ονομαζόταν επίσης Akira, αλλά οι τελευταίες επιθέσεις δεν φαίνεται να σχετίζονται.
Η αρχική πρόσβαση στα συστήματα γίνεται συνήθως μέσω παραβιασμένων credentials (που μπορεί να έχουν αποκτηθεί μέσω spear phishing). Επιπλέον, η ομάδα εκμεταλλεύεται ευπάθειες σε VPN και άλλες εφαρμογές που εκτίθενται στο διαδίκτυο, ειδικά εκείνες που δεν έχουν ενεργοποιημένο έλεγχο ταυτότητας πολλαπλών παραγόντων. Μόλις αποκτηθεί η αρχική πρόσβαση, η ομάδα δημιουργεί persistence, χρησιμοποιεί εργαλεία για να κρύψει την κακόβουλη δραστηριότητα, πραγματοποιεί αναγνώριση δικτύου και κινείται στο δίκτυο. Επίσης, επικοινωνεί με το command-and-control center.
Δείτε επίσης: Akira ransomware: Κυβερνοεπίθεση στο σύστημα έκτακτης ανάγκης της Κομητείας Bucks
Όπως οι περισσότερες ransomware ομάδες, έτσι και η Akira πραγματοποιεί επιθέσεις διπλού εκβιασμού. Δηλαδή, κλέβει δεδομένα από τα παραβιασμένα δίκτυα και μετά περνά στην κρυπτογράφηση των αρχείων. Έπειτα, ζητά από το θύμα να πληρώσει και για την αποκρυπτογράφηση των δεδομένων και για την αποτροπή της δημοσίευσης των κλεμμένων δεδομένων.
Η προειδοποίηση προς τους οργανισμούς υγείας περιλαμβάνει και πολλές συστάσεις για τη βελτίωση της ασφάλειας και την πρόληψη επιθέσεων Akira ransomware.
Τα προληπτικά μέτρα περιλαμβάνουν:
- Χρήση ισχυρών και μοναδικών κωδικών πρόσβασης
- Χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων όπου είναι δυνατόν
- Τακτική ενημέρωση συστημάτων και εφαρμογών
- Χρήση VPN και firewall
- Απενεργοποίηση αχρησιμοποίητων θυρών που επιτρέπουν απομακρυσμένη πρόσβαση
- Παρακολούθηση αρχείων καταγραφής απομακρυσμένης πρόσβασης
- Έλεγχος domain controllers, ενεργών directories, διακομιστών και σταθμών εργασίας για νέους λογαριασμούς
- Έλεγχος του Task Scheduler για μη γνωστά scheduled tasks
- Απαίτηση για χρήση administrative credentials για την εγκατάσταση λογισμικού
- Προσθήκη banner σε μηνύματα ηλεκτρονικού ταχυδρομείου που προέρχονται από εξωτερικές πηγές
- Απενεργοποίηση υπερσυνδέσμων σε emails
- Δημιουργία αντιγράφων ασφαλείας για σημαντικά δεδομένα
- Τμηματοποίηση δικτύου
Ποιες είναι οι πιθανές επιπτώσεις του Akira Ransomware στον τομέα της υγείας;
Οι συνέπειες των επιθέσεων Akira ransomware στον τομέα της υγείας μπορεί να είναι σοβαρές. Πρώτον, το Akira μπορεί να προκαλέσει διακοπή των υπηρεσιών υγείας. Αυτό μπορεί να σημαίνει ότι οι ασθενείς δεν θα μπορούν να λάβουν την απαραίτητη φροντίδα, τις θεραπείες ή τις εξετάσεις που χρειάζονται.
Δείτε επίσης: Φινλανδία: Αυξημένες οι επιθέσεις από το Akira ransomware
Δεύτερον, μπορεί να προκαλέσει απώλεια ή καταστροφή σημαντικών ιατρικών δεδομένων. Αυτό μπορεί να περιλαμβάνει τα ιατρικά ιστορικά των ασθενών, τα αποτελέσματα των εξετάσεων, τις σημειώσεις των γιατρών και άλλες πληροφορίες που είναι κρίσιμης σημασίας για την παροχή φροντίδας υγείας.
Τρίτον, μπορεί να οδηγήσει σε παραβιάσεις της ιδιωτικότητας των ασθενών. Αν τα δεδομένα που έχουν κρυπτογραφηθεί περιλαμβάνουν ευαίσθητες πληροφορίες, όπως τα ιατρικά ιστορικά, τότε οι ασθενείς μπορεί να εκτεθούν σε κίνδυνο παραβίασης της ιδιωτικότητάς τους.
Τέλος, το Akira ransomware μπορεί να έχει σημαντικές οικονομικές επιπτώσεις στον τομέα της υγείας. Οι οργανισμοί μπορεί να αναγκαστούν να πληρώσουν τα λύτρα για να αποκτήσουν πίσω τα δεδομένα τους, ενώ η διακοπή των υπηρεσιών και η απώλεια δεδομένων μπορεί να οδηγήσει σε πρόσθετες δαπάνες.
Πηγή: www.hipaajournal.com
