Утечка данных в Stewart Home & School: 3,677 записей потеряны из-за кражи учетных данных
Инцидент с программой-вымогателем в Stewart Home & School вновь привлек внимание к предотвращению атак вымогателей через кражу учетных данных в здравоохранении, и механизм данной конкретной утечки заслуживает пристального изучения. Украденные учетные данные позволили злоумышленнику получить доступ к двум внутренним дискам. Данные были доступны, скопированы за пределы среды, а затем зашифрованы, что затронуло до 3,677 человек, чья личная, финансовая и защищенная медицинская информация хранилась на этих дисках. Последовательность почти хрестоматийна, но именно это делает ее столь поучительной.
Как украденные учетные данные открыли дверь программам-вымогателям в Stewart Home & School
Атака на Stewart Home & School следовала схеме, которую исследователи в области безопасности задокументировали в сотнях инцидентов в здравоохранении: злоумышленник получает действительные учетные данные для входа, использует их для обычной аутентификации, перемещается в горизонтальном направлении, чтобы найти хранилища конфиденциальных данных, извлекает копию этих данных, а затем развертывает программу-вымогатель для шифрования оставшихся. Каждый шаг опирается на предыдущий.
Особая опасность вторжений, основанных на учетных данных, заключается в том, что с точки зрения сети злоумышленник выглядит как легитимный пользователь. Периметральные средства защиты, межсетевые экраны и базовые антивирусные инструменты не рассчитаны на выявление аутентифицированных сеансов. К моменту начала шифрования данные уже похищены. Программа-вымогатель практически вторична — это тактика давления, наложенная на уже успешную эксфильтрацию.
Именно поэтому первоначальная компрометация учетных данных является наиболее критической точкой всей цепочки. Остановите ее на этом этапе — и никакого последующего ущерба не произойдет.
Какие данные были раскрыты и кто находится в зоне риска
Утечка затронула личную информацию, финансовую информацию и защищенную медицинскую информацию (Protected Health Information, PHI) — сочетание, создающее комбинированный риск для пострадавших лиц. PHI регулируется законом HIPAA, что означает, что пострадавшие организации сталкиваются с регуляторными рисками в дополнение к прямому ущербу для граждан. Наличие финансовых данных в той же утечке резко повышает риск мошенничества с идентификационными данными и несанкционированной активности по счетам.
С учетом того, что потенциально пострадали 3,677 человек, масштаб значителен для одного учреждения. Резиденты, учащиеся и, возможно, сотрудники Stewart Home & School — учреждения ухода за людьми с нарушениями развития — представляют собой особенно уязвимую категорию граждан. Многие из них могут иметь ограниченную способность самостоятельно отслеживать свою кредитную историю или реагировать на предупреждения о мошенничестве, что возлагает дополнительную ответственность на учреждение и на семейных опекунов.
Подобная утечка не заканчивается с нейтрализацией программы-вымогателя. Похищенные данные остаются, и люди подвергаются риску в течение месяцев или лет, пока украденные записи циркулируют по вторичным рынкам.
Почему медицинские учреждения особенно уязвимы для атак на основе учетных данных
Среда медицинских учреждений и учреждений ухода имеет структурные уязвимости, которые усложняют предотвращение атак вымогателей через кражу учетных данных по сравнению с другими секторами. Текучесть кадров высока, а это означает, что гигиена учетных данных, включая своевременное лишение прав доступа для уволившихся сотрудников, постоянно находится под давлением. Общие рабочие станции распространены в клинических и стационарных условиях, что усложняет и управление паролями, и определение ответственности при компрометации учетных данных.
Удаленный доступ также значительно расширился в медицинских учреждениях, и не всегда с адекватными средствами контроля. Сотрудники, входящие в систему с личных устройств или из домашних сетей, часто делают это без защиты VPN или многофакторной аутентификации, оставляя учетные данные уязвимыми для фишинга, вредоносного ПО для кражи информации и перехвата в сети.
Стоит отметить параллели с другими секторами. Ранее инцидент с ManageMyHealth раскрыл почти 100 000 записей пациентов несмотря на предварительные предупреждения, показывая, что сбои в управлении учетными данными и доступом в здравоохранении редко бывают единичными сюрпризами. Они, как правило, отражают системные пробелы, которые остаются без внимания, пока утечка не вынудит принять меры. Аналогично, государственные системы столкнулись с сопоставимыми пробелами в подотчетности, когда известные уязвимости оставались неисправленными в течение длительного времени.
Медицинские организации также часто используют устаревшие системы, которые не были спроектированы с учетом современных требований аутентификации. Наложение многофакторной аутентификации на старую инфраструктуру технически осуществимо, но требует бюджета, планирования и обучения персонала, чему многие небольшие учреждения с трудом уделяют первоочередное внимание.
Как медицинские работники могут усилить контроль доступа и остановить цепочку утечки
Утечка в Stewart Home & School дает четкую отправную точку для любой медицинской организации, пересматривающей свою подверженность рискам. Для вмешательства не требуются передовые технологии. Требуется дисциплинированное внедрение уже хорошо известных мер.
Внедрите многофакторную аутентификацию для всего удаленного доступа. Украденного пароля недостаточно для аутентификации, если требуется второй фактор. Эта единственная мера разрывает наиболее распространенную цепочку атак с кражей учетных данных.
Требуйте использования VPN для всех удаленных подключений к внутренним дискам и клиническим системам. Сотрудники, подключающиеся из дома или через общие сети, должны направлять трафик через зашифрованный туннель. Это сокращает поверхность атаки для перехвата учетных данных и ограничивает то, что может достичь аутентифицированный злоумышленник.
Регулярно проводите аудит и лишайте прав доступа неиспользуемые учетные записи. Учетные записи бывших сотрудников или неиспользуемые являются повторяющейся точкой входа. Ежеквартальная проверка активных учетных данных, сверенная с текущими кадровыми списками, значительно снижает риск использования бесхозных учетных записей.
Сегментируйте внутренние диски и применяйте принцип минимальных привилегий. Не каждому аутентифицированному пользователю нужен доступ ко всем дискам. Ограничение доступа только тем, что действительно необходимо для выполнения роли, означает, что одна скомпрометированная учетная запись не сможет открыть всю среду данных.
Отслеживайте аномальное поведение при аутентификации. Входы в систему в необычное время, с незнакомых IP-адресов или в несколько систем за короткий промежуток времени являются тревожными сигналами. Автоматические оповещения о таких шаблонах могут выявить вторжение до завершения эксфильтрации.
Что это значит для вас
Если вы работаете в сфере управления здравоохранением, ИТ или соблюдения нормативных требований, утечка в Stewart Home & School — это прямой сигнал провести аудит безопасности вашего удаленного доступа до того, как инцидент заставит вас это сделать. Задокументированная здесь последовательность «учетные данные — эксфильтрация — шифрование» воспроизводима и хорошо известна злоумышленникам. Она повторно произойдет в организациях, которые не устранили основные пробелы в контроле доступа.
Рассмотрите инцидент с ManageMyHealth как параллельный кейс: этот инцидент был признан полностью предотвратимым после государственного расследования, что означает, что предупреждающие знаки существовали до потери данных. Почти наверняка то же самое справедливо и для организаций, работающих сегодня без MFA, принудительного использования VPN и регулярных аудитов учетных данных. Меры предосторожности доступны. Вопрос в том, будут ли они внедрены до того, как следующий украденный пароль откроет дверь.




