Upozornenie pred možnými útokmi na biomedicínsky sektor

Národné centrum kybernetickej bezpečnosti SK-CERT upozorňuje na prebiehajúcu kampaň, ktorá je zameraná na biomedicínske a biotechnologické spoločnosti.

Medzinárodná platforma pre spoluprácu biochemikov BIO-ISAC zverejnila štúdiu o dlhodobej APT kampani pod názvom Tardigrade. Útoky smerujú na biomedicínske spoločnosti a sektor biotechnologickej výroby.

Útočníci používajú nový typ malvéru z rodiny Smokey Bear, ktorý nazvali SmokeLoader. Ide o multifunkčný malvér, ktorý je zameraný na krádež citlivých a dôležitých informácií, ako aj na prípravu na ransomvérový útok. Bezpečnostní výskumníci zverejnili aj informácie, že malvér je kompatibilný aj s inými typmi APT škodlivých kódov, napríklad Ryuk, Conti alebo Cobalt Strike. Conti sa v súčasnosti nachádza na prvej pozícii v rebríčku ransomvérových skupín v počte útokov. Útočníci sa v tomto prípade zameriavajú na informácie, súvisiace s výrobou vakcín proti COVID-19.

Prvotným vektorom prieniku, ktorý slúži na malvérovú infekciu, sú phishingové emaily a infikované USB kľúče, ktoré môžu zamestnanci organizácie nájsť v okolí miesta pracoviska.

Zakladateľ ImmuniWeb Ilia Koločenko vysvetlil, že farmaceutické firmy sú dnes významným cieľom pre aktérov kyber útokov ako na národnej úrovni tak aj medzinárodne.

„Niektoré útočné kampane sú veľmi sofistikované a môžu zámerne zahŕňať aj falošné príznaky, ako napríklad incidenty súvisiace s internými osobami. Môžu slúžiť ako dymová clona zameraná na odvrátenie pozornosti tímov kybernetickej bezpečnosti od oveľa väčšieho narušenia,“ dodal.

Národné centrum kybernetickej bezpečnosti SK-CERT preto odporúča biochemickým spoločnostiam okamžite aplikovať nasledujúce odporúčania:

  • Identifikujte vaše kľúčové technológie a systémy
    • podľa svojich hlavných činností si určite rozsah analýzy rizík
    • určite si všetky kľúčové aktíva, ktoré umožňujú vykonávať a podporujú vaše činnosti
    • definujte hrozby a zraniteľnosti, ktoré na vaše aktíva vplývajú
    • ohodnoťte riziká na základe dopadu a pravdepodobnosti hrozby
    • na zníženie hodnoty rizík prijmite adekvátne opatrenia
  • Skontrolujte segmentáciu vašej siete
    • overte, že kľúčové technológie a systémy sú dobre oddelené od ostatnej infraštruktúry
  • Skontrolujte nastavenie prístupov k technológiám a systémom
    • obmedzte, najlepšie úplne zakážte vzdialený prístup ku kľúčovým technológiám a systémom
    • nastavte si svoje prístupové politiky na základe princípu need-to-knowzero trust
  • Dôsledne aplikujte zálohovaciu politiku podľa najlepšej praxe
    • ak nemáte, tak vytvorte zálohovaciu politiku, v ktorej určíte, aké dáta sa zálohujú, kto k nim má prístup, na akých médiách budú zálohy uchovávané a podobne
    • zálohujte všetky dôležité informácie. Ide o najlepšie možné opatrenie na zaistenie bezpečnosti dát
    • zálohujte na rôzne miesta a médiá, pričom vykonávajte aj studenej zálohy – zálohy na médiá nepripojené do siete a uchovávané na chránenom mieste (napr. v trezore, ideálne v úplne inom objekte)
    • implementujte zálohovaciu politiku, ktorá obsahuje všetky tieto pravidlá
    • pravidelne overujte funkčnosť zálohovacej politiky a v prípade potreby ju aktualizujte
    • pravidelne kontrolujte zálohovacie systémy a ich funkčnosť
    • pravidelne kontrolujte funkčnosť záloh
    • pravidelne testujte obnovu dát zo záloh
    • pravidelne trénujte so zamestnancami proces zálohovania a proces obnovy záloh
  • Udržiavajte všetky svoje zariadenia a systémy aktualizované
    • vykonajte identifikáciu všetkých svojich zariadení a systémov
    • udržiavajte aktuálne informácie o vašich zariadeniach, systémoch, licenciách a podpore
    • vytvorte si politiku aktualizácie, ktorá bude obsahovať pravidlá aktualizácie vašich zariadení a systémov
    • implementujte politiku aktualizácie
  • Monitorujte aktivity vo vašej sieti, aby ste vedeli rozpoznať a zachytiť kybernetické bezpečnostné incidenty
  • Vykonajte preventívne kroky vo vašej organizácii, aby ste čo možno najviac minimalizovali hrozbu
    • poučte všetkých svojich zamestnancov, vrátane vedenia, o pravidlách dodržiavania základov kybernetickej hygieny
    • vykonávajte pravidelný tréning, zameraný na prevenciu phishingu, ako aj phishingové testy
  • Ak sa incident objavil
    • Identifikujte zasiahnuté zariadenia a systémy izolujte ich od siete
    • V prípade zasiahnutia viacerých systémov a podsietí, vypnite sieť na úrovni prepínača – switchu. V prípade ak nie je možné vykonať odpojenie siete na úrovni sieťových prvkov, odpojte jednotlivé zariadenia od siete (odpojenie sieťových káblov, vypnutie Wi-Fi a pod.)
    • Zasiahnuté zariadenia vypínajte len v prípade, že ich nie je možné úplne izolovať zo sieťovej infraštruktúry. Vypnutím zariadenia dochádza k nezvratnému zničeniu dát uložených v operačnej pamäti, ktorá môže obsahovať cenné údaje a dáta potrebné na bližšiu analýzy činnosti malvéru a dešifrovanie zasiahnutých súborov
    • V prípade akýchkoľvek podozrení neváhajte kontaktovať Národné centrum kybernetickej bezpečnosti SK-CERT na adrese incident@nbu.gov.ska aj políciu.

« Späť na zoznam