Οι φόβοι για την παραβίαση δεδομένων LabCorp ήταν αβάσιμοι. Ήταν μια επίθεση Ransomware.

Η Laboratory Corporation της Αμερικής Holdings ή η LabCorp έχει 60.000 εργαζόμενους παγκοσμίως, βοηθάει σε κλινικές δοκιμές σε περίπου 100 χώρες και επεξεργάζεται περίπου 2,5 εκατομμύρια εργαστηριακές εξετάσεις κάθε εβδομάδα. Αυτό σημαίνει ότι η LabCorp χειρίζεται και αποθηκεύει δυνητικά πολύ ευαίσθητα δεδομένα σχετικά με την υγεία εκατομμυρίων ανθρώπων. Όπως ίσως φανταστείτε, όταν η εταιρεία ανακοίνωσε ότι είχε εντοπίσει «ύποπτη δραστηριότητα» στο δίκτυο πληροφορικής της, οι αντιδράσεις δεν ήταν ακριβώς θετικές. Οι άνθρωποι φοβήθηκαν πραγματικά για τις πληροφορίες για την υγεία τους. Όπως αποδεικνύεται, δεν είχαν να ανησυχούν πολύ.

Η είδηση έσπασε τη Δευτέρα όταν η εταιρεία υπέβαλε μια κατάθεση 8-Κ με την Επιτροπή Κεφαλαιαγοράς. Το έγγραφο δεν έλεγε πολύ εκτός από το γεγονός ότι κατά τη διάρκεια του Σαββατοκύριακου, ορισμένοι από τους υπολογιστές και τους διακομιστές της LabCorp λειτουργούσαν ασυνήθιστα. Αν και η κατάθεση υποδηλώνει ότι η ομάδα πληροφορικής της εταιρείας δεν είχε ιδέα για το τι είχαν να κάνουν με την εποχή εκείνη, πολλά από τα συστήματα έκλεισαν για να αποφευχθεί οποιαδήποτε πραγματική ζημία.

Χθες, ο CSO ανέφερε περισσότερες λεπτομέρειες σχετικά με την επίθεση. Προφανώς, τα μεσάνυχτα στις 13 Ιουλίου, οι χάκερ ξεκίνησαν τις προσπάθειές τους να διεισδύσουν στο δίκτυο της LabCorp με ακατάλληλες εξουσιοδοτήσεις για σύνδεση με το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP). Μέχρι τις 14 Ιουλίου στις 6 το μεσημέρι, έπεσαν και έριξαν το ωφέλιμο φορτίο τους - ένα στέλεχος ransomware γνωστό ως SamSam.

Τα καλά νέα

Προφανώς, ένα cyberattack δεν μπορεί ποτέ να είναι καλή είδηση, ειδικά για την οργάνωση που στοχεύει, αλλά στην προκειμένη περίπτωση είμαστε σίγουροι ότι τόσο οι εργαζόμενοι της LabCorp όσο και οι ασθενείς έπνιξαν μια συλλογική ανακούφιση όταν έμαθαν ότι το εργαστηριακό δίκτυο είχε χτυπήσει με ransomware.

Η εναλλακτική λύση ήταν ένα κομμάτι malware που κλέβει και εκθέτει τα δεδομένα των ασθενών, τα οποία θα μπορούσαν να έχουν καταστροφικές συνέπειες. Μετά από προσεκτική εξέταση των αποδεικτικών στοιχείων, η LabCorp δηλώνει με βεβαιότητα ότι δεν έχει διαρρεύσει καμία πληροφορία. Έτσι, μπορείτε σίγουρα να πείτε ότι θα μπορούσε να είναι πολύ χειρότερο.

Με την εκμάθηση της επίθεσης, η ομάδα πληροφορικής της LabCorp άρχισε αμέσως τη λήψη συστημάτων εκτός σύνδεσης σε μια προσπάθεια περιορισμού των ζημιών. Μέσα σε πενήντα λεπτά, η λοίμωξη ήταν περιορισμένη, αλλά μέχρι εκείνη τη στιγμή, η SamSam είχε ήδη καταφέρει να κρυπτογραφήσει τα δεδομένα σε 7.000 συστήματα και 1.900 διακομιστές.

Παρά τις σημαντικές ζημιές που προκάλεσαν, οι χάκερ έφυγαν με άδειο χέρι. Σύμφωνα με επίσημες ανακοινώσεις, το ransomware απομακρύνθηκε, γεγονός που υποδηλώνει ότι η LabCorp είχε δημιουργήσει αντίγραφα ασφαλείας από εκεί που αποκαθιστούσαν τις κρυπτογραφημένες πληροφορίες. Η εταιρεία λέει ότι οι περισσότερες από τις δοκιμές έχουν επαναληφθεί και ότι όλα θα επανέλθουν στο φυσιολογικό μέσα σε λίγες μέρες.

Συνολικά, η αντίδραση της LabCorp στην επίθεση αξίζει ένα ορισμένο επίπεδο έπαινο. Η εταιρεία αντέδρασε γρήγορα, και το ransomware βρέθηκε πριν μπορέσει να σπάσει εντελώς την υποδομή του εργαστηριακού δικτύου. Μετά από αυτό, η υπεύθυνη διαχείριση ευαίσθητων δεδομένων συνέβαλε στη διασφάλιση ότι δεν θα χαθούν πληροφορίες.

Τα όχι τόσο καλά νέα

Η LabCorp δεν έχει ακόμη εντοπίσει το ακριβές στέλεχος του ransomware, αλλά η CSO και οι πηγές τους φαίνεται να είναι αρκετά βέβαιες ότι είναι η SamSam επειδή η συγκεκριμένη οικογένεια έχει πληγεί περισσότερο από μερικές οργανώσεις υγειονομικής περίθαλψης κατά το παρελθόν έτος ή έτσι. Επιπλέον, ενώ δεν είναι ο μόνος φορέας μόλυνσης τους, η συμμορία SamSam προσβάλλει συχνά τα θύματα από τα ακατάλληλα έγγραφα πιστοποίησης του RDP.

Και πάλι, οι λεπτομέρειες εξακολουθούν να είναι ασαφείς, αλλά τα στοιχεία δείχνουν ότι η LabCorp δεν είχε έλεγχο ταυτότητας δύο παραγόντων για την προστασία των λογαριασμών του ΠΑΑ. Με άλλα λόγια, υπήρχαν αποδείξεις ότι το LabCorp είναι ένας πιθανός στόχος και, παρόλο που ανταποκρίθηκε καλά στην επίθεση, δεν κατάφερε να πάρει το ένα βήμα που θα μπορούσε να το σταματήσει.

Οι ειδικοί συχνά λένε ότι ένας χάκερ πρέπει να πετύχει μόνο μία φορά για να ξεκινήσει μια επιτυχημένη επίθεση. Οι χρήστες και οι οργανισμοί από την άλλη πλευρά, ωστόσο, πρέπει να πετύχουν συνεχώς, εάν θέλουν να αποτρέψουν ένα περιστατικό ασφάλειας. Η επίθεση ransomware στο LabCorp αποδεικνύει πόσο σωστή είναι αυτή η δήλωση.