LabCorpデータ侵害の恐怖は根拠のないものでした。これはランサムウェア攻撃でした。
ラボラトリーコーポレーションオブアメリカホールディングスまたはLabCorpは世界中に6万人の従業員を擁し、約100か国での臨床試験を支援し、毎週約250万件のラボテストを処理しています。これは、LabCorpが数百万人の健康に関連する潜在的に非常に機密性の高いデータを処理および保存することを意味します。ご想像のとおり、ITネットワークで「疑わしい活動」が検出されたと会社が発表したとき、反応は正確に肯定的ではありませんでした。人々は自分の健康情報を本当に怖がっていました。結局のところ、彼らは心配することはあまりありませんでした。
このニュースは月曜日に会社が証券取引委員会に8Kのファイリングを提出したときに破りました。この文書は、週末の間、LabCorpのコンピューターとサーバーの一部が異常な動作をしていたという事実とは別に言っていませんでした。ファイリングでは、同社のITチームは当時彼らが何を扱っていたのかわからなかったと示唆していますが、実際の損害を防ぐために多くのシステムがシャットダウンされました。
昨日、CSOは攻撃に関する詳細を報告しました。どうやら、7月13日の真夜中に、ハッカーは、リモートデスクトッププロトコル(RDP)ログイン資格情報をブルートフォースすることでLabCorpのネットワークに侵入する試みを開始しました。 7月14日の午後6時までに彼らは侵入し、ペイロードを落としました。これは、SamSamとして知られるランサムウェアの一種です。
良いニュース
明らかに、特に攻撃対象の組織にとってサイバー攻撃は決して良いニュースではありませんが、この場合、LabCorpの従業員と患者の両方が、研究所のネットワークが攻撃されたことを知ったとき、集団安reliefのため息をついたと確信しています。ランサムウェアによって。
代替手段は、壊滅的な結果をもたらす可能性があった患者のデータを盗み出し、公開するマルウェアです。証拠を注意深く確認した後、LabCorpは、情報が漏えいしていないと自信を持って述べています。だから、あなたは間違いなくそれがはるかに悪いことだったと言うことができます。
攻撃を知ると、LabCorpのITチームは、被害を制限するためにすぐにシステムをオフラインにし始めました。 50分以内に感染は封じ込められましたが、その時までに、SamSamはすでに7,000台のシステムと1,900台のサーバーでデータを暗号化していました。
彼らが引き起こした大きな損害にもかかわらず、ハッカーは手ぶらで立ち去りました。公式発表によると、ランサムウェアは「 削除 」 され 、LabCorpが暗号化された情報を復元した場所からバックアップを実行していたことを示唆しています。同社は、ほとんどのテスト作業が再開され、数日以内にすべてが正常に戻ると述べています。
全体として、攻撃に対するLabCorpの反応は、一定のレベルの賞賛に値します。同社は迅速に対応し、ランサムウェアは実験室ネットワークのインフラストラクチャを完全に破壊する前に封じ込められました。その後、機密データの責任ある管理により、情報が失われないようにしました。
それほど良くないニュース
LabCorpはまだランサムウェアの正確な系統を特定していませんが、CSOとそのソースは、この特定のファミリーが過去1年ほどで少数の医療機関を襲っているため、SamSamであると確信しています。さらに、SamSamギャングは、唯一の感染ベクターではありませんが、RDP資格情報を総当たり攻撃することで被害者を攻撃することがよくあります。
繰り返しますが、詳細はまだ不明ですが、証拠は、LabCorpがRDPアカウントを保護する2要素認証を持っていなかったことを示唆しています。言い換えれば、LabCorpは潜在的な標的であるという証拠がありましたが、それでも攻撃に十分に対応したものの、それを阻止するための一歩を踏み出すことができませんでした。
専門家は、ハッカーが攻撃を成功させるために一度だけ成功する必要があるとしばしば言います。ただし、セキュリティインシデントを防ぐためには、相手側のユーザーと組織は常に成功する必要があります。 LabCorpに対するランサムウェア攻撃は、この声明がいかに正しいかを証明しています。