LabCorp dataintrång-farhågor var ogrundade. Det var en Ransomware-attack.
Laboratory Corporation of America Holdings eller LabCorp har 60 tusen anställda över hela världen, hjälper till med kliniska prövningar i nära 100 länder och bearbetar cirka 2,5 miljoner labtester varje vecka. Detta innebär att LabCorp hanterar och lagrar potentiellt mycket känsliga uppgifter relaterade till miljontals människors hälsa. Som ni kan föreställa er, när företaget meddelade att det hade upptäckt ”misstänksam aktivitet” på sitt IT-nätverk, var reaktionerna inte exakt positiva. Människor var verkligen rädda för sin hälsoupplysning. Som det visar sig hade de inte mycket att oroa sig för.
Nyheten bröt på måndag när företaget lämnade in en 8-K arkivering till Securities and Exchange Commission. Dokumentet sade inte så mycket bortsett från det faktum att under helgen handlade några av LabCorps datorer och servrar på ett ovanligt sätt. Även om arkiveringen antyder att företagets IT-team inte hade någon aning om vad de hade att göra med den tiden, stängdes många av systemen för att förhindra någon verklig skada.
Igår rapporterade CSO mer information om attacken. Uppenbarligen, vid midnatt den 13 juli, började hackare sina försök att infiltrera LabCorps nätverk genom att tvinga inloggningsuppgifter för Remote Desktop Protocol (RDP). Vid 14.00 den 14 juli var de i och de tappade sin nyttolast - en stam av ransomware känd som SamSam.
De goda nyheterna
Uppenbarligen kan ett cyberattack aldrig vara goda nyheter, särskilt för den organisation som är riktad, men i det här fallet är vi ganska säkra på att både LabCorp-anställda och patienter andade ett kollektivt suck av lättnad när de fick veta att laboratorienätverket hade drabbats av ransomware.
Alternativet var en bit skadlig programvara som stjäl och avslöjar patienters data som kan ha haft förödande konsekvenser. Efter noggrant granskning av bevisen uppger LabCorp med säkerhet att ingen information har läckt ut. Så du kan definitivt säga att det kunde ha varit mycket värre.
Efter att ha lärt sig attacken började LabCorps IT-team omedelbart ta system offline i ett försök att begränsa skadan. Inom femtio minuter innehöll infektionen, men vid den tiden hade SamSam redan lyckats kryptera uppgifterna på 7 000 system och 1 900 servrar.
Trots den betydande skada de orsakade gick hackarna med tomhänder. Enligt officiella meddelanden ransomware "togs bort"vilket tyder på att LabCorp hade arbetande säkerhetskopior där de återställde den krypterade informationen. Företaget säger att de flesta testverksamheterna har återupptagits och att allt kommer att vara tillbaka till det normala inom några dagar.
Sammantaget förtjänar LabCorps reaktion på attacken en viss beröm. Företaget reagerade snabbt och ransomware innehöll innan det helt kunde bryta laboratorienätets infrastruktur. Därefter hjälpte deras ansvarsfulla hantering av känslig information till att se till att ingen information går förlorad.
De inte så goda nyheterna
LabCorp har ännu inte identifierat den exakta belastningen av ransomware, men CSO och deras källor verkar vara ganska säkra på att det är SamSam eftersom den här familjen har drabbat mer än ett fåtal sjukvårdsorganisationer under det senaste året eller så. Dessutom, medan det inte är deras enda infektionsvektor, attackerar SamSam-gänget offren ofta genom att tvinga RDP-referenser.
Återigen är detaljerna fortfarande oklara, men bevis tyder på att LabCorp inte hade tvåfaktorsautentisering som skyddar sina RDP-konton. Med andra ord fanns bevis för att LabCorp är ett potentiellt mål, och ändå, även om den svarade bra på attacken, hade den inte lyckats ta ett steg som kunde ha stoppat den.
Experter säger ofta att en hacker bara behöver lyckas en gång för att starta en framgångsrik attack. Användarna och organisationerna i andra änden måste dock lyckas hela tiden om de ska förhindra en säkerhetshändelse. Ransomware-attacken på LabCorp bevisar hur riktigt detta uttalande är.
