Allt förpackat i utvecklingen av medicinsk hijacking
Bland den stupande floden av stulna personuppgifter har en datatyp stärkt sin position som kaviar av personliga referenser, och eftersträvas nu av ett brett spektrum av grymma individer och organisationer. Medicinsk data har stigit till toppen 5 Orsaker till att medicinsk identitetsstöld ökar 5 skäl till att medicinsk identitetsstöld ökar scammers vill ha dina personuppgifter och bankkontoinformation - men visste du att dina journaler också är av intresse för dem? Ta reda på vad du kan göra åt det. Läs mer av identitetsstöldpalen, och som sådan upplever medicinska anläggningar en pågående ökning av skadlig kod som är utformad för att stjäla dessa privata referenser.
MEDJACK 2
Tidigare i år utforskade vi MEDJACK-rapporten Hälso- och sjukvård: The New Attack Vector för Scammers & ID Thieves Healthcare: Den Nya Attackvektorn för Scammers & ID Thieves Sjukvårdsposter används alltmer av scammers för att göra vinst. Även om det finns enorma fördelar med att ha en digitaliserad medicinsk post, sätter din personliga data i spärrledningen värt det? Läs mer, sammanställd av bedrägligt fokuserat säkerhetsföretag, TrapX. Deras första MEDJACK-rapport illustrerade ett brett spektrum av attacker inriktade på medicinska anläggningar i hela landet med fokus på sjukhusmedicinska enheter. TrapX hittades “omfattande kompromiss av en rad medicintekniska produkter som inkluderade röntgenutrustning, bildarkiv och kommunikationssystem (PACS) och blodgasanalysatorer (BGA),” samt anmälande sjukhusmyndigheter om ett imponerande utbud av ytterligare potentiella sårbara instrument, inklusive:
“Diagnostisk utrustning (PET-scannrar, CT-skannrar, MR-maskiner, etc.), terapeutisk utrustning (infusionspumpar, medicinska lasrar och LASIK-kirurgiska maskiner) och livsutrustning (hjärtlungmaskiner, medicinska ventilatorer, extrakorporeala membranoxymeringsmaskiner och dialysmaskiner ) och mycket mera.”
Den nya rapporten, MEDJACK.2: Sjukhus under anfall (Jag älskar den här titeln förresten!), Har byggt på denna tidiga detaljering av det ihållande hotet till medicinska anläggningar och säkerhetsbolaget ger en detaljerad analys av “pågående, avancerad” attacker som äger rum.
Nya institutioner, nya attacker
En av de mest intressanta sakerna i rapporten var de sofistikerade malwarevarianterna som använts av attackerna, speciellt utformade för att verka som ingen oro för moderna Windows-system. MS08-067-masken, mer allmänt känd som Conficker, är välkänd bland säkerhetspersonal, och dess signatur är lika välkänd av antivirus- och slutpunkts säkerhetsprogram. Jämför din Anti-Viruss prestanda med dessa 5 toppsider jämför din Anti-Virus "prestanda med dessa 5 bästa webbplatser Vilka antivirusprogram ska använda? Vilken är bäst"? Här tittar vi på fem av de bästa online-resurserna för att kontrollera anti-virusprestanda för att hjälpa dig att fatta ett välgrundat beslut. Läs mer .
Majoriteten av de senaste Windows-versionerna har utrotat de flesta av de specifika sårbarheter som gjorde att masken lyckades under sin tid “glanstid,” så när det presenterades för nätverkssäkerhetssystemet för den medicinska anläggningen såg det ut som om det inte fanns ett omedelbart hot.
Däremot valdes malware specifikt för sin förmåga att utnyttja äldre, oförändrade versioner av Windows som finns på många medicinska enheter. Detta är kritiskt av två skäl:
- Eftersom de nyare versionerna av Windows inte var sårbara upptäckte de inte ett hot, vilket eliminerade eventuella protokoll för slutpunktsäkerhet som skulle ha trätt in. Detta säkerställde att maskens framgångsrika navigering till några gamla Windows-arbetsstationer.
- Specifikt fokusera attacken på äldre versioner av Windows gav en betydligt högre chans att lyckas. Förutom detta har de flesta medicinska enheterna inte specialiserad slutpunktsäkerhet, vilket igen begränsar deras möjligheter att upptäcka.
TrapX grundare, Moshe Ben Simon, förklarade:
“MEDJACK.2 lägger till ett nytt lag av kamouflage till attackerens strategi. Nya och högklassiga attackerverktyg är klokt dolda inom mycket gammal och föråldrad skadlig kod. Det är en smartaste varg i mycket gamla fårkläder. De har planerat denna attack och vet att inom hälsovårdsinstitutionerna kan de lansera dessa attacker utan straffrihet eller upptäckt och enkelt upprätta bakdörrar inom sjukhus eller läkarnätverk där de kan förbli oupptäckta och exfiltrera data under långa perioder.”
Särskilda sårbarheter
Med hjälp av den föråldrade Conficker-masken som en omslag kunde angriparna snabbt flytta mellan de interna sjukhusenheterna. Trots att TrapX inte officiellt namngav leverantörer av medicinsk utrustning utvärderade deras säkerhetssystem, de har beskrivit de specifika avdelningar, system och leverantörer av utrustning som drabbades:
- Hosptial # 1: Topp 1000 globala sjukhus
- Leverantör A - Strålning Oncology system
- Leverantör A - Trilogy LINAC Gatesystem
- Leverantör B - Flouroscopy Radiology system
- Sjukhus # 2: Topp 2000 globala sjukhus
- Leverantör C - PACS-systemet
- Flera leverantörer datorservrar och lagringsenheter
- Sjukhus # 3: Topp 200 globala sjukhuset
- Leverantör D - röntgenmaskin
I det första sjukhuset komprometterade angripare ett system som kör ett centrerat intrångsdetekteringssystem, skydd för ändpunkter i hela nätverket och nästa generations brandväggar. Trots dessa skydd fann säkerhetsforskare bakdörrar i ett antal system, som beskrivs ovan.
Det andra sjukhuset fann att deras bildarkiv och kommunikationssystem (PACS) hade äventyras för att söka efter sårbara medicinska apparater och patientdata Hur hälsodata från dina apparater köps och säljs hur hälsodata från dina apparater köps och säljs Ny explosion i antal hälso- och fitnessapplikationer betyder att det finns mycket hälsodata som samlas in av våra enheter - data som säljs. Läs mer, inklusive “röntgenfilmbilder, datoriserade tomografi (CT) skanna bilder och magnetisk resonans (MRI) bildbehandling tillsammans med nödvändiga arbetsstationer, servrar och lagring.” En speciell fråga är att nästan varje sjukhus i landet har minst en centraliserad PACS-tjänst, och det finns hundratusentals mer över hela världen.
På tredje sjukhuset hittade TrapX en bakdörr i röntgenutrustningen, en applikation baserad på Windows NT 4.0 Kom ihåg dessa? 7 gamla Windows-program som används fortfarande idag, kom ihåg det här? 7 gamla Windows-program som fortfarande används idag De säger att tekniken går framåt med en exponentiell takt. Men visste du att vissa program har funnits i flera årtionden? Gå med oss för en promenad ner Nostalgia Lane och upptäck de äldsta överlevande Windows-programmen. Läs mer . Även om sjukhusvaktteamet “hade stor erfarenhet av cybersäkerhet,” De var helt omedvetna om att deras system hade äventyras, igen på grund av att den skadliga programvaran kom in som en underdriven hotning.
En fara för tjänster?
Förekomsten av hackare i hela medicinska nätverk är naturligtvis oerhört oroande. Men det verkar som deras intrång i medicinska anläggningsnätverk är främst motiverad av stöld av personliga journaler. Det här är hur de hackar dig: The Murky World of Exploit Kit. Det här är hur de hackar dig: The Murky World of Exploit Kit. Scammers kan använda programvarupaket att utnyttja sårbarheter och skapa skadlig programvara. Men vad är dessa utnyttjande kit? Var kommer de ifrån? Och hur kan de stoppas? Läs mer, istället för att faktiskt utgöra ett direkt hot mot sjukhushårdvaran. I den meningen kan vi vara tacksamma.
Många säkerhetsforskare kommer att notera den sofistikerade skadliga programvaran som camouflerad Din nya säkerhetshot för 2016: JavaScript Ransomware Din nya säkerhetshot för 2016: JavaScript Ransomware Locky ransomware har varit oroande säkerhetsforskare, men sedan dess korta försvinnande och återvänder som en plattformsplattform ransomware hot, saker har förändrats. Men vad kan du göra för att besegra Locky ransomware? Läs mer som fler grundläggande versioner, utformade för att eliminera aktuella säkerhetslösningar för slutpunkten. TrapX noterade i sin första MEDJACK-rapport att medan gammal malware användes för att få tillgång till enheter är detta en bestämd eskalering; Attackerarnas önskan att kringgå några moderna säkerhetscheckpunkter noterades. -
“Dessa gamla malwarepaket övergår moderna ändpunktslösningar eftersom de riktade sårbarheterna sedan länge har stängts på operativsystemsnivå. Så nu kan angriparna, utan att generera någon varning, distribuera sina mest sofistikerade verktyg och etablera bakdörrar inom större vårdinrättningar, helt utan varning eller varning.”
Även om det primära syftet är patientidentifieringsstöld, innebär exponeringen av dessa kritiska sårbarheter bara en sak: ett mer sårbart vårdsystem, med fler potentiella sårbarheter som ännu inte utsätts för. Eller, nätverk som redan har äventyras utan att väcka några larm. Som vi har sett är detta scenario helt möjligt.
Medicinska journaler har blivit en av de mest lukrativa formerna av personligt identifierbar information, efterfrågad av ett brett spektrum av skadliga enheter. Med priser som sträcker sig från 10-20 dollar per enskild rekord, är det en effektiv svartmarknadshandling som stimuleras av den till synes enkla tillgången till ytterligare rekord.
Meddelandet till sjukhus ska vara klart. Utvecklingen av patientrekord i en lätt överförbar digitaliserad version är utan tvekan fantastisk. Du kan gå in i nästan vilken sjukhus som helst, och de kommer enkelt att få tillgång till en kopia av dina poster.
Men med vetskap om att bakdörrarna blir allt vanligare i medicintekniska produkter som utnyttjar gradvis gammal hårdvara, måste det finnas en samordnad insats mellan både utrustningstillverkare och medicinska institutioner för att arbeta tillsammans för att upprätthålla patientens säkerhet.
Har du blivit påverkad av medicinsk poststöld? Vad hände? Hur fick de tillgång till dina poster? Låt oss veta nedan!
Bildkrediter: medicinsk monitor från sfam_photo via Shutterstock
Utforska mer om: Malware.