在2020年的前六个月,近20个国家看到了Covid-主题的诱惑。一部分扫描的附属威胁杠杆杠杆威胁威胁,从商品犯罪分子到国家威胁行动者。在三月的大流行高度期间,与其他行业相比,医疗组织获得了与这些活动相关的16%的恶意信息。以下示例是我们的一些亮点2020年医疗保健威胁情况报告并从疫情中吸取网络安全方面的教训。
大规模网络攻击
大规模攻击者代表了2020年的医疗行业收到的64%的威胁。它们通过向许多不同的收件人组织发送高卷威胁,在那里的技术或功能的速度和变化,例如唯一的URL或宏功能附件,驱动操作规模。大规模攻击通常表现出扇区无症靶向。最普遍的威胁之一来自校对点的旗舰尺度演员,TA505。TA505重点介绍使用SDBOT和GET2作为主恶意软件的大规模讯息活动。在这项运动中,78%超过250,000个恶意信息用于制药和生命科学组织。这一威胁来自企业支持服务的员工对临床试验。该科目包括结算信息,并在一个案例中,临床研究员名称正在研究抗体疗法以预防和治疗Covid-19。
复仇克隆
在我们的报告中,我们确定了几个关键活动,它们在消息量、传递矢量和对医疗保健部门特定垂直部门的潜在风险方面表现出了更具体的差异。一个活动的例子是,一个未知的攻击者开发了一个克隆的门户,其电子邮件的主题是“更新我们的隐私通知”。这些诱饵包含一些网址,可以让用户从密歇根州蓝十字蓝盾的合法认证门户的克隆网页上获取证书。信息发送者被欺骗,看起来好像他们来自“蓝十字蓝盾协会”。这些电子邮件还包含一个图形图像标签,该标签加载了攻击者页面上的BCBS标识。
基于电子邮件的勒索软件攻击给下载者让路,但勒索软件仍然是一个威胁
由于2019年以来总体积减少,因此,赎金软件对医疗保健行业继续存在问题,并且在2020年的一般展平。第一阶段赎金软件活动仅占校对点数据中观察到的威胁的1%,而可能导致后续的赎金仓库有效载荷仍然很常见。公共报告的轶事见解证实了帆船曲线的平整化,并可能建议演员已迁移远离使用电子邮件。然而,校对点研究人员可以看到Ftcode,Nemty,Buran和新来抵达的分布,例如Avaddon和其他“精品”变种,以电子邮件提供。诸如关键基础设施等某些部门在2020年经历了增加的赎金软件攻击,并且医疗保健仍然是广告系列的最高目标,这主要是用下载感染开始的。
电子邮件诈骗日益猖獗
总的来说,我们的研究人员发现越来越多的威胁者使用社交工程来代替传统的威胁,比如url或恶意软件。这些攻击的目标是人们和他们的关系他们的供应链通常都是对话性质的。使用旧的会话、发票和批准书出借当试图使自己的非法转让合法化时沟通资金。
威胁:有针对性的,由人们经营
今天的网络攻击针对的是人,而不是技术。这就是为什么医疗保健组织必须采取以人为中心的方法来保护其临床工作人员、非临床员工以及他们使用和共享的敏感数据。临床工作的本质要求专注于提供最佳的病人护理,而且往往是快速的,而不是考虑电子邮件的合法性。这也是该行业很容易成为恶意活动目标的原因之一。而成功攻击的潜在回报是很高的。我们的2020年报告探讨了我们称之为攻击人医疗保健的™(VAP)。我们使用该术语来描述一个由网络威胁最重视的组织内的用户。我们比较了五个类别的医疗保健中的实际VAP的实例。例如,在比较两位教学医院时,攻击者最针对性的医院电子邮件账户是往往在第三方医疗或商业组织的研究拨款中获得学术研究的教授。如果您知道谁在您的组织中遭到攻击,您将如何改变您的方法?
你能做什么
为了防范这些基于人员的威胁,医疗保健组织需要了解其组织内的哪些人是目标。我们的报告提供了一套详细的建议,以保护贵国人民目前的工作方式。最好从基础做起,在三个关键领域进行投资:
- 一个先进的电子邮件安全网关与预防数据丢失(DLP)保护,以阻止威胁到达医疗保健人员。安全团队需要了解他们最目标人群的情况,并能够制定严格的网络安全政策,以了解数据是否、何时以及如何被泄露。寻找在电子邮件流中工作的解决方案,并在攻击的多个阶段中使用静态和动态技术分析可疑的和url。它应该捕捉先进的威胁,并记录模式、行为和谍报技术。
- 因为攻击绝大多数是针对特定的人,所以进行持续的攻击是至关重要的Email Protection##10bet十博信誉吗对于访问系统的每个员工。员工培训将授权用户识别和报告可疑的电子邮件,并提供有关如何主动警告安全团队的指导。
- 最后,设施应该部署一个电子邮件验证系统基于域的消息认证报告和一致性(DMARC)检测和防止电子邮件欺骗。DAMRC帮助阻止攻击者使用看似来自合法医疗保健组织的发送者地址,这可以显著降低电子邮件欺诈风险。
研究人员分析了成千上万的竞选信号和数以百万计的信息,为医疗保健行业带来可量化、轶事和评估的见解。
订阅校正博客