TM_103

8 6|7|2022 #103 Η Sophos δημοσιοποίησε πρόσφατα τα αποτελέσματα της έκ- θεσης The State of Ransomware in Healthcare 2022 , η οποία αποκαλύπτει ένα ολοένα αυξανόμενο ποσοστό επιθέσεων ransomware στην υγειονομική περίθαλψη. Ορισμένα βασικά ευρήματα από την έκθεση είναι τα εξής: • Το 2020 το ποσοστό των οργανισμών υγειονομικής περίθαλ- ψης που συμμετείχαν στην έρευνα επλήγησαν από ransomware ήταν στο 34%, ενώ το 2021 διπλασιάστηκε (66%). • Ο συγκεκριμένος κλάδος σημείωσε την υψηλότερη αύξηση σε όγκο (69%) και σε αντιληπτή πολυπλοκότητα (67%) όσον αφο- ρά τις κυβερνοεπιθέσεις. • Το 61% των οργανισμών πληρώνουν τα λύτρα για να καταφέ- ρουν να πάρουν πίσω τα κρυπτογραφημένα δεδομένα τους, όταν ο μέσος όρος παγκοσμίως είναι 46%. Παρόλα αυτά, ο κλά- δος της υγειονομικής περίθαλψης πληρώνει τα λιγότερα λύτρα σε σχέση με οργανισμούς σε άλλους κλάδους. • Οι οργανισμοί υγειονομικής περίθαλψης που πλήρωσαν τα λύ- τρα κατάφεραν να επαναφέρουν μόνο το 65% των δεδομένων που κρυπτογραφήθηκαν το 2021, όταν το ποσοστό αυτό ήταν 69% το 2020. • Το μέσο κόστος αποκατάστασης από τις επιθέσεις ransomware για τον χώρο υγειονομικής περίθαλψης είναι $1,85 εκατομμύ- ρια, ενώ ο μέσος όρος όλων των κλάδων παγκοσμίως είναι $1,4 εκατομμύρια. • Το 44% των οργανισμών που δέχτηκε επίθεση το τελευταίο έτος χρειάστηκε έως και μία εβδομάδα για να ανακάμψει από την πιο μεγάλη επίθεση, ενώ το 25% εξ αυτών χρειάστηκε έως και έναν μήνα. • Μόνο το 78% των οργανισμών στον κλάδο της υγειονομικής περίθαλψης έχουν ασφαλιστική κάλυψη. • Το 97% των οργανισμών στον κλάδο της υγειονομικής περί- θαλψης που καλύπτεται από ασφάλιση φρόντισε να αναβαθμί- σει την κυβερνοάμυνα του για να βελτιώσει τη θέση του στον χώρο της ασφάλισης. Ερευνητές εντόπισαν νέο, κρυφό malware που χρησιμοποιούν επιτιθέ- μενοι τους τελευταίους 15 μήνες για να συλλέγουν δεδομένα από τους διακομι- στές του Microsoft Exchange μετά την παραβίασή τους. Με το όνομα Session Manager, το κακό- βουλο λογισμικό εμφανίζεται ως γνωστό και μη επικίνδυνο Internet Information Services (IIS) module, με ρόλο server. Το module είναι by default εγκατεστημένο στους servers του Microsoft Exchange. Οργανισμοί συχνά αναπτύσσουν μονά- δες IIS για τον εξορθολογισμό συγκεκρι- μένων διαδικασιών στις υποδομές web. Ερευνητές της Kaspersky έχουν εντοπί- σει από τον Μάρτιο του 2021, 34 διακο- μιστές που ανήκουν σε 24 οργανισμούς, οι οποίοι είχαν μολυνθεί με το Session Manager. Αρχές Ιουνίου 2022, 20 από αυτούς παρέμεναν ακόμη μολυσμένοι. Μετά την ανάπτυξη του Session Manager, οι κακόβουλοι χειριστές το χρησιμοποιούν για να συλλέξουν ακό- μη περισσότερες πληροφορίες από το μολυσμένο περιβάλλον, για τη συλλογή κωδικών πρόσβασης που είναι αποθη- κευμένοι στη μνήμη και εγκαθιστούν πρόσθετα εργαλεία, συμπεριλαμβανο- μένων ενός reflective DLL loader που είναι βασισμένο σε PowerSploit, του Mimikat SSP, του ProcDump και ενός νόμιμου εργαλείου memory dump της Avast. Η Kaspersky έχει καταφέρει να έχει στη διάθεσή της πολλές παραλλα- γές του Session Manager που χρονολο- γούνται τουλάχιστον από τον Μάρτιο του 2021. Τα δείγματα δείχνουν μια στα- θερή εξέλιξη που προσθέτει δυνατότη- τες με κάθε νέα έκδοση. Η «απολύμανση» των server από το SessionManager ή παρόμοιες κακό- βουλες μονάδες IIS είναι μια περίπλοκη διαδικασία. Η ανάρτηση τ ης Kaspersky περιέχει δείκτες που μπορούν να χρησι- μοποιήσουν οι οργανισμοί για να προσ- διορίσουν εάν έχουν μολυνθεί και τα βήματα που πρέπει να ακολουθήσουν σε περίπτωση που έχουν μολυνθεί. Του Στάθη Ασπιώτη Sophos: Έρευνα για τις κυβερνοεπιθέσεις στον τομέα υγειονομικής περίθαλψης Οι διακομιστές του Microsoft Exchange παγκοσμίως χτυπήθηκαν από νέο malware που συλλέγει δεδομένα