Angrepene mot helsesektoren øker globalt i takt med Covid-19
Den datakriminelle trusselen har blitt verre de siste to månedene, skriver Nils Ove Gamlem.
De fleste ble truffet av det beryktede Ryuk-viruset. Det førte til at CISA, FBI og NHS gikk ut med en felles advarsel mot overhengende datakriminalitetstrusler mot amerikanske sykehus og helsepersonell. I Norge gikk Nasjonal Sikkerhetsmyndighet (NSM) og advarte mot tilsvarende i sin årsrapport for 2020. Siden begynnelsen av november har det vært ytterligere 45 prosent økning i angrep rettet mot helseorganisasjoner globalt. Dette er mer enn det dobbelte av den totale økningen i nettangrep i alle bransjesektorer over hele verden sett på samme tid.
Også i Norge har vi sett organisasjoner utsatt for utpressing. Hyppigheten av dette har økt gjennom 2020 og vi ser dessverre ingen reduksjon for 2021.
Økningen i angrep involverer en rekke vektorer, inkludert løsepengevirus, botnett, ekstern kjøring av kode og DDoS-angrep. Løsepengevirus viser imidlertid den største økningen, og er den største trusselen mot skadelig programvare for helseorganisasjoner sammenlignet med andre bransjesektorer. Denne typen angrep mot sykehus og relaterte organisasjoner er spesielt skadelige, fordi enhver forstyrrelse av systemene deres kan påvirke deres evne til å levere omsorg, og sette liv i fare – alt dette forverres av presset disse systemene står overfor for å håndtere den globale økningen i Covid-19 saker. Nettopp dette er grunnen til at kriminelle spesifikt og målrettet retter seg mot helsesektoren: fordi det er sannsynlig at de oppfyller løsepenger krav.
Regionale angrepsdata
Sentral-Europa topper listen over regioner som er påvirket av økningen i angrep mot helseorganisasjoner, med en økning på 145 prosent i november, etterfulgt av Øst-Asia, som fikk en økning på 137 prosent, og Latin-Amerika med en økning på 112 prosent. Europa og Nord-Amerika økte henholdsvis 67 prosent og 37 prosent.
Når det gjelder spesifikke land, opplevde Canada den mest dramatiske økningen med over 250 prosent økning i angrep, etterfulgt av Tyskland med en økning på 220 prosent. Spania så en dobling i angrep.
Hvorfor øker angrepene nå?
Den viktigste motivasjonen for trusselaktører er penger. De ser etter store summer som kan komme raskt. Det ser også ut til at angrep har gitt god uttelling til kriminelle bakmenn det siste året, denne suksessen har gjort dem sultne på mer.
Som nevnt tidligere er sykehus under enormt press på grunn av den pågående økningen i koronavirustilfeller, noe som gjør dem villige til å betale løsepenger slik at de kan fortsette å gi nødvendig omsorg i denne kritiske tiden.
I september ble det rapportert av tyske myndigheter at det som så ut til å ha vært et feilrettet hackerangrep forårsaket svikt i it-systemet på et større sykehus i Düsseldorf, og en kvinne som trengte hurtiginnleggelse døde etter at hun måtte føres til en annen by for behandling. Ingen sykehus eller helseorganisasjoner ønsker å oppleve et lignende scenario. Dette øker sannsynligheten for at organisasjonen oppfyller angriperens krav i håp om å minimere forstyrrelser.
En annen trend har også vært såkalt dobbel utpressing hvor organisasjoner som har blitt rammet av løspengevirus blir truet med offentliggjøring av data hvis de ikke betaler for «nøkkel» for dekryptering. Dette kan spesielt ramme helseinstitusjoner som besitter mye personsensitive data.
Det er også viktig å merke seg at i motsetning til vanlige løsepengeangrep som distribueres mye via massive spam-kampanjer og utnyttelsessett, er angrepene mot sykehus og helseorganisasjoner som bruker Ryuk-varianten spesifikt skreddersydd og målrettet. Ryuk ble først oppdaget i midten av 2018, og kort tid etter publiserte Check Point Research den første grundige analysen av dette nye løsepengeviruset, som var rettet mot USA. I 2020 overvåket Check Point-forskere ved HLR, Ryukaktivitet globalt og observerte økning i Ryuks bruk i angrep rettet mot helsesektoren.
Covid-19 cyberlandskap
Pandemien har påvirket alle aspekter av våre liv, og sikkerhetsbildet har ikke blitt spart. Fra en økning i registreringen av koronavirusrelaterte ondsinnede domener, til bruk av relaterte emner i phishing og løsepengeangrep, og til og med svindelannonser som tilbyr Covid-vaksiner til salgs, har vi sett en voldsom økning i datautnyttelse som søker å kompromittere personlige data, spre skadelig programvare og stjele penger.
Medisinske tjenester og forskningsorganisasjoner ble mål for angrep som forsøkte å stjele verdifull kommersiell og profesjonell informasjon, eller for å forstyrre vitale forskningsoperasjoner. Bruken av test- og sporingsapper for å spore enkeltpersoner, som tidligere ville ha forårsaket sterk motstand mot personvern, har blitt adoptert over hele verden og forventes å overleve pandemien. Når verdens oppmerksomhet fortsetter å fokusere på å håndtere pandemien, vil nettkriminelle også fortsette å bruke og prøve å utnytte dette fokuset til egne ulovlige formål – så det er viktig at både organisasjoner og enkeltpersoner opprettholder god netthygiene for å beskytte seg selv mot Covidrelatert online kriminalitet.
Min absolutt sterkeste anbefaling er å ha «guarden oppe». Gå gjennom sikkerheten med tanke spesielt på ransomeware. Husk også at det begynner som noe annet, eksempelvis email phising eller dokument som er skadelige. Sikre alt mobile enheter til datacenter og sky tjenester.
Nils Ove Gamlem, teknologisjef i Check Point