A LabCorp adatsértési félelmei nem voltak megalapozottak. Ez egy Ransomware támadás volt.

LabCorp Ransomware Attack

A Laboratory Corporation of America Holdings vagy a LabCorp 60 ezer alkalmazottat foglalkoztat világszerte, közel 100 országban segíti a klinikai vizsgálatokat és hetente mintegy 2,5 millió laboratóriumi tesztet dolgoz fel. Ez azt jelenti, hogy a LabCorp potenciálisan nagyon érzékeny adatokat kezel és tárol emberek millióinak egészségével kapcsolatban. Mint gondolhatja, amikor a vállalat bejelentette, hogy „gyanús tevékenységet” észlel IT-hálózatán, a reakciók nem voltak pontosan pozitívak. Az emberek valóban féltek az egészségügyi információiktól. Mint kiderült, nem sokkal kellett aggódniuk.

A hír hétfőn tört be, amikor a társaság 8-K iktatást nyújtott be az Értékpapír- és Tőzsdebizottsághoz. A dokumentum nem különösebben foglalkozott azzal a ténnyel, hogy a hétvégén a LabCorp egyes számítógépei és szerverei szokatlanul viselkedtek. Noha a bejelentés azt sugallja, hogy a vállalat IT-csapatának fogalma sem volt arról, hogy akkoriban mi történt, sok rendszert leállítottak a valós kár elkerülése érdekében.

Tegnap a CSO további részleteket jelentett a támadásról. Nyilvánvaló, hogy július 13-án éjfélkor a hackerek megpróbálták behatolni a LabCorp hálózatába azáltal, hogy brutálisan kényszerítették a távoli asztali protokoll (RDP) bejelentkezési adatait. Július 14-én 18:00 óráig be voltak érkezve, és elhagyták a hasznos teherüket - a SamSam néven ismert ransomware törzset.

A jó hírek

Nyilvánvaló, hogy a kibertámadás soha nem lehet jó hír, különösen a megcélzott szervezet számára, de ebben az esetben biztosak vagyunk abban, hogy mind a LabCorp alkalmazottai, mind a betegek együttes megkönnyebbülést sóhajtottak, amikor megtudták, hogy a laboratóriumi hálózat sújtotta. a ransomware által.

Az alternatíva egy olyan malware program volt, amely ellopja és feltárja a betegek adatait, és amelyek pusztító következményekkel járhattak. A bizonyítékok alapos áttekintése után a LabCorp magabiztosan kijelenti, hogy nem szivárogtak információk. Tehát határozottan elmondhatja, hogy sokkal rosszabb is lett volna.

A támadás megismerése után a LabCorp informatikai csapata azonnal elindította a rendszerek offline elérését a kár korlátozása érdekében. Ötven percen belül a fertőzés visszaszorult, de addigra a SamSamnek már sikerült titkosítania az adatokat 7000 rendszeren és 1900 szerveren.

Az általuk okozott jelentős károk ellenére a hackerek üres kézzel távoztak. A hivatalos bejelentések szerint a ransomware "eltávolítva" volt, ami arra utal, hogy a LabCorpnak biztonsági mentései voltak, ahonnan visszaállították a titkosított információkat. A társaság szerint a tesztelési műveletek nagy részét megújították, és néhány napon belül minden normalizálódik.

Összességében a LabCorp támadásra adott reakciója bizonyos szintű dicséretet érdemel. A társaság gyorsan reagált, és a ransomware el lett tárolva, mielőtt teljesen megtörhetné a laboratóriumi hálózat infrastruktúráját. Ezt követően az érzékeny adatok felelősségteljes kezelése hozzájárult ahhoz, hogy semmilyen információ ne veszítsen el.

A nem túl jó hír

A LabCorpnak még nem sikerült azonosítania a ransomware pontos törzsét, de a CSO és forrásai eléggé biztosak abban, hogy SamSam ez, mivel ez a család több mint néhány egészségügyi szervezetet érintett az elmúlt egy évben. Sőt, bár nem ez az egyetlen fertőzésvektoruk, a SamSam banda gyakran támad az áldozatokat az RDP hitelesítő adataival.

A részletek ismét tisztázatlanok, de bizonyítékok arra utalnak, hogy a LabCorpnak nem volt kétfaktoros hitelesítése az RDP-fiókjaik védelme érdekében. Más szavakkal, bizonyítékok voltak arra, hogy a LabCorp potenciális célpont, és bár jól reagált a támadásra, nem tett egy lépést, amely megállíthatta volna.

A szakértők gyakran azt mondják, hogy a hackereknek csak egyszer kell sikerezniük a sikeres támadás elindításához. A felhasználóknak és a másik végén lévő szervezeteknek azonban minden alkalommal sikereket kell elérniük, ha meg akarják akadályozni egy biztonsági eseményt. A labCorp elleni ransomware támadás igazolja, hogy helyes-e ez a megállapítás.

February 12, 2020

Válaszolj