LabCorp-dataovertrædelses frygt var ubegrundet. Det var et Ransomware-angreb.

Laboratory Corporation of America Holdings eller LabCorp har 60 tusinde ansatte verden over, hjælper med kliniske forsøg i næsten 100 lande og behandler omkring 2,5 millioner laboratorietest hver uge. Dette betyder, at LabCorp håndterer og gemmer potentielt meget følsomme data relateret til millioner af menneskers helbred. Som du måske kunne forestille dig, da virksomheden meddelte, at det havde opdaget 'mistænksom aktivitet' på sit IT-netværk, var reaktionerne ikke nøjagtigt positive. Folk var virkelig bange for deres sundhedsoplysninger. Det viser sig, at de ikke havde meget at bekymre sig om.

Nyheden brød mandag, da virksomheden indgav en 8-K arkivering til Securities and Exchange Commission. Dokumentet sagde ikke meget bortset fra, at nogle af LabCorps computere og servere i løbet af weekenden handlede på en usædvanlig måde. Selvom arkiveringen antyder, at virksomhedens IT-team ikke havde nogen idé om, hvad de beskæftigede sig med dengang, blev mange af systemerne lukket for at forhindre reel skade.

I går rapporterede CSO flere detaljer om angrebet. Tilsyneladende, ved midnat den 13. juli, startede hackere deres forsøg på at infiltrere LabCorps netværk ved at brute-tvinge login-legitimationsoplysningerne for Remote Desktop Protocol (RDP). Ved 14.00 den 14. juli var de i, og de faldt deres nyttelast - en stamme af ransomware kendt som SamSam.

Den gode nyhed

Det er klart, at et cyberangreb aldrig kan være gode nyheder, især for den organisation, der er målrettet, men i dette tilfælde er vi temmelig sikre på, at både LabCorp-ansatte og patienter åndede et kollektivt lettelsens sukk, da de fandt ud af, at laboratorienetværket var ramt af ransomware.

Alternativet var et stykke malware, der stjæler og afslører patienters data, som kunne have haft ødelæggende konsekvenser. Efter omhyggelig gennemgang af bevismaterialet erklærer LabCorp fortroligt, at der ikke er lækket nogen information. Så du kan bestemt sige, at det kunne have været meget værre.

Efter at have lært om angrebet begyndte LabCorps IT-team straks at tage systemer offline i et forsøg på at begrænse skaden. Inden for halvtreds minutter var infektionen indeholdt, men på det tidspunkt havde SamSam allerede været i stand til at kryptere dataene på 7.000 systemer og 1.900 servere.

På trods af den betydelige skade, de forårsagede, gik hackerne med tomhånd. Ifølge officielle meddelelser blev ransomware " fjernet ", hvilket antyder, at LabCorp havde arbejdende sikkerhedskopier, hvorfra de gendannede den krypterede information. Virksomheden siger, at de fleste af testoperationerne er genoptaget, og at alt vil være tilbage til det normale inden for et par dage.

Alt i alt fortjener LabCorps reaktion på angrebet et vist ros. Virksomheden reagerede hurtigt, og løseprogrammet blev indeholdt, før det fuldstændigt kunne ødelægge laboratorienetværkets infrastruktur. Derefter hjalp deres ansvarlige håndtering af følsomme data med at sikre, at ingen oplysninger vil gå tabt.

Den ikke så gode nyhed

LabCorp har endnu ikke identificeret den nøjagtige stamme af ransomware, men CSO og deres kilder ser ud til at være temmelig sikre på, at det er SamSam, fordi netop denne familie har ramt mere end et par sundhedsorganisationer i løbet af det sidste år eller deromkring. Hvad mere er, selvom det ikke er deres eneste infektionsvektor, angriber SamSam-banden ofte ofre ved at brute-tvinger RDP-legitimationsoplysninger.

Igen er detaljerne stadig uklare, men bevis tyder på, at LabCorp ikke havde tofaktorautentifikation, der beskytter deres RDP-konti. Med andre ord var der bevis for, at LabCorp er et potentielt mål, og alligevel, selvom det reagerede godt på angrebet, havde det undladt at tage et skridt, der kunne have stoppet det.

Eksperter siger ofte, at en hacker kun skal lykkes én gang for at starte et vellykket angreb. Brugerne og organisationerne i den anden ende er dog nødt til at lykkes hele tiden, hvis de skal forhindre en sikkerhedshændelse. Ransomware-angrebet på LabCorp viser, hvor korrekt denne erklæring er.