„LabCorp“ duomenų pažeidimo baimės nebuvo pagrįstos. Tai buvo „Ransomware“ ataka.

„Laboratory Corporation of America Holdings“ arba „LabCorp“ visame pasaulyje turi 60 tūkst. Darbuotojų, padeda atlikti klinikinius tyrimus beveik 100 šalių ir kiekvieną savaitę apdoroja apie 2,5 milijono laboratorinių tyrimų. Tai reiškia, kad „LabCorp“ tvarko ir saugo potencialiai labai neskelbtinus duomenis, susijusius su milijonų žmonių sveikata. Kaip galite įsivaizduoti, kai įmonė paskelbė, kad IT tinkle aptiko „įtartiną veiklą“, reakcija nebuvo tiksliai teigiama. Žmonės nuoširdžiai bijojo savo informacijos apie sveikatą. Kaip paaiškėja, jie neturėjo kuo jaudintis.

Žinia pasklido pirmadienį, kai bendrovė pateikė „8-K“ paraišką Vertybinių popierių ir biržos komisijai. Dokumente nebuvo daug pasakyta, išskyrus tai, kad savaitgalį kai kurie „LabCorp“ kompiuteriai ir serveriai veikė neįprastai. Nors iš dokumentų pateikimo matyti, kad bendrovės IT komanda net neįsivaizdavo, su kuo tuo metu buvo susijęs, nemažai sistemų buvo uždarytos, kad būtų išvengta realios žalos.

Vakar CSO pranešė daugiau informacijos apie išpuolį. Matyt, liepos 13 d. Vidurnaktį įsilaužėliai pradėjo bandymus įsibrauti į „LabCorp“ tinklą, brutaliai priversdami prisijungti prie nuotolinio darbalaukio protokolo (RDP) prisijungimo duomenų. Iki liepos 14 d. 18 val. Jie buvo ir jie numetė naudingą krovinį - išpirkos programos, žinomos kaip „SamSam“, padermę.

Geros naujienos

Akivaizdu, kad kibernetinis užpuolimas niekada negali būti gera žinia, ypač organizacijai, kuriai yra skirta, tačiau šiuo atveju esame gana tikri, kad ir „LabCorp“ darbuotojai, ir pacientai įkvėpė kolektyvinį palengvėjimą, kai sužinojo, kad laboratorijų tinklas nukentėjo. išpirkos programomis.

Alternatyva buvo kenkėjiška programinė įranga, kuri vagia ir paviešina pacientų duomenis, kurie galėjo turėti pražūtingų padarinių. Atidžiai apžiūrėjęs įrodymus, „LabCorp“ užtikrintai pareiškia, kad jokios informacijos nutekėjo. Taigi, jūs tikrai galite pasakyti, kad tai galėjo būti daug blogiau.

Sužinojusi apie išpuolį, „LabCorp“ IT komanda nedelsdama pradėjo naudotis sistemomis neprisijungusi, siekdama apriboti žalą. Per penkiasdešimt minučių infekcija buvo sustabdyta, tačiau iki to laiko „SamSam“ jau buvo pavykę užšifruoti duomenis 7000 sistemų ir 1900 serverių.

Nepaisant padarytos didelės žalos, įsilaužėliai išėjo tuščiomis rankomis. Remiantis oficialiais pranešimais, išpirkos programinė įranga buvo „pašalinta“, o tai rodo, kad „LabCorp“ turėjo veikiančias atsargines kopijas, iš kur jie atkūrė užšifruotą informaciją. Bendrovė sako, kad dauguma bandymo operacijų buvo atnaujintos ir kad per kelias dienas viskas bus normaliai.

Apskritai, „LabCorp“ reakcija į išpuolį nusipelno tam tikro lygio pagyrų. Bendrovė greitai sureagavo, o išpirkos programinė įranga buvo sulaikyta, kol ji negalėjo visiškai sugadinti laboratorijų tinklo infrastruktūros. Po to atsakingas neskelbtinų duomenų valdymas padėjo užtikrinti, kad jokia informacija nebus prarasta.

Nelabai geros žinios

„LabCorp“ dar neturi nustatyti tikslios išpirkos programų padermės, tačiau CSO ir jų šaltiniai atrodo gana įsitikinę, kad tai „SamSam“, nes ši konkreti šeima per pastaruosius metus patyrė daugiau nei keletą sveikatos priežiūros organizacijų. Dar daugiau, nors tai nėra vienintelis jų užkrato pernešėjas, „SamSam“ gauja dažnai puola aukas, brutaliai reikalaudama KPP kredencialų.

Vėlgi, detalės vis dar nėra aiškios, tačiau įrodymai rodo, kad „LabCorp“ neturėjo dviejų veiksnių autentifikavimo, saugančios jų KPP paskyras. Kitaip tariant, buvo įrodymų, kad „LabCorp“ yra potencialus taikinys, ir nors jis gerai reagavo į išpuolį, jis nesugebėjo žengti nė vieno žingsnio, kuris galėjo jį sustabdyti.

Ekspertai dažnai sako, kad įsilaužėliui pasisekti reikia tik vieną kartą, norint pradėti sėkmingą ataką. Tačiau vartotojams ir organizacijoms, esančioms kitame gale, reikia užkirsti kelią visą laiką, jei jos nori užkirsti kelią saugumo incidentui. „LabCorp“ išpirkos programos išpuolis įrodo, koks teisingas šis teiginys.