Sirius Healthcare e Semperis aiutano gli studi medici a sventare gli impatti devastanti e a rafforzare la sicurezza

Quando uno studio medico privato di specialità ortopediche è stato minacciato da un attacco di ransomware, ha agito rapidamente per ridurre al minimo l'impatto.

L'ambiente Microsoft Active Directory (AD) complesso e distribuito dello studio medico comprendeva più di 130 server e 25 controller di dominio (DC), rendendolo vulnerabile a un attacco ransomware in ambito sanitario.

Il grande studio di ortopedia, fisioterapia e medicina dello sport aveva 30 sedi e più di 2.000 dipendenti. L'ambiente AD distribuito dell'organizzazione era comprensibilmente complesso, con oltre 100 server e decine di DC. Questo tipo di sistema complesso è un sogno che si avvera per gli attori delle minacce, che amano puntare alle vulnerabilità dell'AD e alla configurazione strisciante nei tentativi di ransomware in ambito sanitario.

Un'e-mail di phishing porta ad un attacco ransomware nel settore sanitario

In questo caso, gli aggressori hanno iniziato a sfruttare i punti deboli, le configurazioni errate e i punti ciechi dell'ambiente AD dello studio.

  • Attraverso un'e-mail di phishing andata a buon fine, gli aggressori hanno ottenuto l'accesso iniziale all'ambiente dello studio sanitario.
  • Da lì, gli aggressori si sono mossi lateralmente, riuscendo a compromettere gli account privilegiati.
  • Gli attori della minaccia hanno stabilito la persistenza per l'accesso amministrativo a molti dei sistemi critici dell'organizzazione.

Quando è stato scoperto l'attacco di ransomware per il settore sanitario, gli aggressori avevano utilizzato il movimento laterale e l'escalation dei privilegi per compromettere più DC AD e la foresta e il dominio aziendali. Fortunatamente, il cliente non aveva ancora subito alcuna esfiltrazione di dati o impatti operativi significativi.

Avevamo quello che pensavamo fosse un'implementazione di rete ponderata. Avevamo fatto uno sforzo ragionevole per rafforzare la sicurezza, ma ci sono sempre cose che si possono fare meglio, e questo si è ritorto contro di noi. Siamo stati vittime di un attacco ransomware. È stato piuttosto brutale e ha colpito la maggior parte dei nostri sistemi.

CTO, Pratica Ortopedica Sanitaria

Risposta, rilevamento e bonifica rapidi

L'organizzazione si è rivolta a Sirius Healthcare, un integratore statunitense di soluzioni aziendali basate sulla tecnologia, per ottenere aiuto nella risposta agli incidenti e nella bonifica. Sirius si è rivolta a Semperis per la nostra esperienza nella difesa di ambienti ibridi e multicloud e per la fornitura di soluzioni di sicurezza AD costruite ad hoc.

Il team ha trovato un DC che non era stato colpito dall'attacco, fornendo un aiuto per il recupero. Altri aspetti chiave del recupero sono stati la chiusura immediata degli accessi a rischio e un'analisi e una pulizia approfondita dell'AD. Ad esempio, Semperis ha indirizzato lo studio a:

  • Reimpostare il suo biglietto di concessione di Kerberos (KRBTGT), una fiducia a tre vie che custodisce le porte della rete.
  • Reimpostare due volte le password degli account
  • Disabilitare i servizi di spooler di stampa in esecuzione su tutti i DC

Abbiamo adottato molte misure immediate per combattere l'attacco, tra cui la messa in quarantena dei DC colpiti, l'interruzione degli accessi a rischio e la ricerca di DC puliti per favorire il recupero.

CTO, Pratica Ortopedica Sanitaria

Difendersi dai futuri attacchi ransomware in ambito sanitario

"Una volta rimessi in piedi, avevamo bisogno di sapere che i malintenzionati erano fuori dal nostro ambiente", ha spiegato il Chief Technology Officer (CTO) dello studio. "A questo punto non sapevamo se eravamo ancora compromessi. Dovevamo partire dal presupposto che erano ovunque e dovevamo trovarli ed eliminarli".

Sirius e Semperis hanno aiutato l'azienda a monitorare il proprio ambiente per capire se ci fossero ancora ricognizioni da parte degli aggressori. Gli strumenti di sicurezza incentrati sull'AD di Semperis, tra cui la soluzione di rilevamento e risposta alle minacce Directory Services Protector (DSP), hanno aiutato l'organizzazione a ottenere un quadro accurato e completo dell'incidente e della sua posizione di sicurezza AD.

Lo strumento DSP ha mantenuto le promesse, ma credo che il vero valore del coinvolgimento di Semperis sia stato il suo personale e la sua profonda conoscenza e comprensione dell'AD e degli attacchi basati sull'AD.

CTO, Pratica Ortopedica Sanitaria

Ora, DSP scansiona e monitora costantemente l'ambiente IT dello studio ortopedico, alla ricerca di configurazioni errate di AD che gli aggressori potrebbero sfruttare per ottenere l'accesso. Inoltre, DSP tiene traccia delle modifiche apportate all'AD e offre la possibilità di ripristinare automaticamente le attività dannose, sia che si tratti di attacchi da parte di soggetti pericolosi che di errori innocenti da parte dei membri del team IT interno.

Forse il valore più grande di DSP è la sua capacità di esaminare AD in modo più approfondito rispetto agli strumenti di sicurezza tradizionali. DSP tiene traccia del flusso di repliche di AD, rilevando attacchi sofisticati e precedentemente invisibili, come DC Shadow, un attacco kill chain in fase avanzata che consente agli aggressori con credenziali privilegiate di registrare controller di dominio non autorizzati. Con l'aumento degli attacchi ransomware nel settore sanitario, queste misure preventive sono fondamentali.

DSP Sono in atto controlli per monitorare costantemente l'ambiente AD ibrido dello studio ortopedico. Gli indicatori di esposizione (IOE) al ransomware sanitario o ad altri attacchi e le modifiche sospette vengono segnalate per essere immediatamente prese in considerazione.

"Abbiamo iniziato a passare al livello successivo", ha dichiarato il CTO. "Ora utilizziamo DSP per ricevere avvisi sulle modifiche ai Criteri di gruppo. [I criteri di gruppo, in parte, controllano ciò che gli utenti possono o non possono fare su un sistema informatico".] Ci ha permesso di implementare un controllo delle modifiche e processi di miglioramento [interni] più forti, per evitare attività informatiche disoneste che potrebbero essere convenienti per noi, ma non sono sicure".

Informazioni su Sirius Healthcare (una società CDW)

In ogni fase del percorso sanitario e durante l'intero ciclo di vita della tecnologia, Sirius Healthcare fornisce le migliori soluzioni tecnologiche multivendor che aiutano le organizzazioni sanitarie a migliorare la qualità delle cure, a controllare i costi, a migliorare la sicurezza, a rispettare le normative e a estendere la portata alle comunità. Per saperne di più su Sirius Healthcare, contattate Sirius oggi stesso al numero 800-460-1237 per discutere delle vostre esigenze.