LabCorp dataovertredelse frykt var ubegrunnet. Det var et Ransomware-angrep.
Laboratory Corporation of America Holdings eller LabCorp har 60 000 ansatte over hele verden, hjelper med kliniske studier i nærmere 100 land og behandler rundt 2,5 millioner laboratorietester hver uke. Dette betyr at LabCorp håndterer og lagrer potensielt veldig sensitive data relatert til helsen til millioner av mennesker. Som du kanskje forestiller deg, da selskapet kunngjorde at det hadde oppdaget 'mistenkelig aktivitet' på sitt IT-nettverk, var reaksjonene ikke akkurat positive. Folk var virkelig redd for helseopplysningene sine. Det viser seg at de ikke hadde mye å bekymre seg for.
Nyheten brøt mandag da selskapet inngav en 8-K innlevering til verdipapir- og børskommisjonen. Dokumentet sa ikke så mye bortsett fra at noen av LabCorps datamaskiner og servere i løpet av helgen opptrådte på en uvanlig måte. Selv om arkiveringen antyder at selskapets IT-teamet ikke ante hva de hadde å gjøre med den gangen, ble mange av systemene lagt ned for å forhindre reell skade.
I går rapporterte CSO flere detaljer om angrepet. Angivelig, ved midnatt den 13. juli, startet hackere sine forsøk på å infiltrere LabCorps nettverk ved å tvinge inn påloggingsinformasjon til RDP (Remote Desktop Protocol). Senest klokka 14.00 den 14. juli var de inne, og de slapp nyttelasten - en belastning av ransomware kjent som SamSam.
De gode nyhetene
Åpenbart kan et nettangrep ikke være gode nyheter, spesielt for organisasjonen som er målrettet, men i dette tilfellet er vi ganske sikre på at både LabCorp-ansatte og pasienter pustet et kollektivt lettelsens sukk da de fikk vite at laboratorienettverket hadde blitt rammet av ransomware.
Alternativet var et stykke malware som stjeler og avslører pasientenes data som kunne hatt ødeleggende konsekvenser. Etter å ha gjennomgått bevisene nøye, uttaler LabCorp med tillit at ingen informasjon er lekket. Så du kan definitivt si at det kunne ha vært mye verre.
Etter å ha lært av angrepet, startet LabCorps IT-team umiddelbart å ta systemer frakoblet i et forsøk på å begrense skaden. I løpet av femti minutter var infeksjonen inneholdt, men på det tidspunktet hadde SamSam allerede klart å kryptere dataene på 7000 systemer og 1 900 servere.
Til tross for den betydelige skaden de forårsaket, gikk hackerne tomhendt bort. I følge offisielle kunngjøringer ble ransomware "fjernet", noe som antyder at LabCorp hadde arbeidsbackuper der de gjenopprettet den krypterte informasjonen. Selskapet sier at de fleste testoperasjonene er gjenopptatt og at alt vil være tilbake til det normale i løpet av noen dager.
Alt i alt fortjener LabCorps reaksjon på angrepet et visst ros. Selskapet reagerte raskt, og ransomware ble inneholdt før det fullstendig kunne ødelegge laboratorienettverkets infrastruktur. Deretter bidro deres ansvarlige håndtering av sensitive data til å sikre at ingen informasjon vil gå tapt.
Den ikke så gode nyheten
LabCorp har ennå ikke identifisert den eksakte belastningen av ransomware, men CSO og deres kilder ser ut til å være ganske sikre på at det er SamSam fordi denne familien har truffet mer enn noen få helseorganisasjoner det siste året eller så. Dessuten, selv om det ikke er deres eneste infeksjonsvektor, angriper SamSam-gjengen ofte ofre ved å tvinge RDP-legitimasjon.
Igjen er detaljene fremdeles uklare, men bevis tyder på at LabCorp ikke hadde tofaktorautentisering som beskyttet sine RDP-kontoer. Med andre ord var det bevis på at LabCorp er et potensielt mål, og ennå, selv om det reagerte bra på angrepet, hadde det ikke klart å ta det skrittet som kunne ha stoppet det.
Eksperter sier ofte at en hacker trenger bare å lykkes én gang for å sette i gang et vellykket angrep. Brukerne og organisasjonene i den andre enden må imidlertid lykkes hele tiden hvis de skal forhindre en sikkerhetshendelse. Ransomware-angrepet på LabCorp beviser hvor riktig denne uttalelsen er.
