A Sirius Healthcare e a Semperis ajudam a prática médica a impedir impactos devastadores e a reforçar a postura de segurança
Quando um consultório médico privado de especialidade ortopédica foi ameaçado por um ataque de ransomware no sector dos cuidados de saúde, tomou medidas rápidas para minimizar o impacto.
O ambiente complexo e distribuído do Microsoft Active Directory (AD) da clínica médica incluía mais de 130 servidores e 25 controladores de domínio (DCs), o que o tornava vulnerável a um ataque de ransomware nos cuidados de saúde.
A grande clínica de ortopedia, fisioterapia e medicina desportiva tinha 30 locais e mais de 2.000 funcionários. Compreensivelmente, o ambiente AD distribuído da organização era complexo, com mais de 100 servidores e dezenas de DCs. Este tipo de sistema complexo é um sonho tornado realidade para os agentes de ameaças, que adoram visar as vulnerabilidades do AD e as falhas de configuração nas tentativas de ransomware para cuidados de saúde.
Correio eletrónico de phishing conduz a um ataque de ransomware no sector da saúde
Neste caso, os atacantes começaram por explorar os pontos fracos, as configurações incorrectas e os ângulos mortos no ambiente AD da clínica.
- Através de um e-mail de phishing bem sucedido, os atacantes obtiveram acesso inicial ao ambiente da clínica de saúde.
- A partir daí, os atacantes fizeram movimentos laterais, comprometendo com sucesso contas privilegiadas.
- Os agentes da ameaça estabeleceram a persistência do acesso administrativo a muitos dos sistemas críticos da organização.
Na altura em que o ataque de ransomware aos cuidados de saúde foi descoberto, os atacantes tinham utilizado o movimento lateral e a escalada de privilégios para comprometer vários AD DCs e a floresta e domínio da empresa. Felizmente, o cliente ainda não tinha sofrido qualquer exfiltração de dados ou impactos operacionais significativos.
Tínhamos o que pensávamos ser uma implementação de rede bem pensada. Fizemos um esforço razoável para reforçar a segurança, mas há sempre coisas que se podem fazer melhor - e isso acabou por nos prejudicar. Fomos vítimas de um ataque de ransomware. Foi bastante brutal, afectando a maioria dos nossos sistemas.
CTO, Prática de Cuidados de Saúde Ortopédicos
Resposta rápida, deteção e correção
A organização procurou a Sirius Healthcare, uma integradora americana de soluções de negócios baseadas em tecnologia, para obter ajuda com a resposta a incidentes e a correção. A Sirius procurou a Semperis devido à nossa experiência na defesa de ambientes híbridos e multinuvem e no fornecimento de soluções de segurança de AD criadas especificamente para esse fim.
A equipa encontrou um DC que não foi afetado pelo ataque, o que ajudou no esforço de recuperação. Outros aspectos importantes da recuperação incluíram o encerramento imediato do acesso de risco e uma análise e limpeza completas do AD. Por exemplo, a Semperis orientou a prática para:
- Repor o seu bilhete de concessão de bilhetes Kerberos (KRBTGT), uma confiança de três vias que guarda os portões da rede
- Repor duas vezes as palavras-passe das contas
- Desativar os serviços de spooler de impressão em execução em todos os DCs
Tomámos uma série de medidas imediatas para combater o ataque, incluindo a colocação em quarentena dos DCs afectados, o encerramento do acesso de risco e a procura de DCs limpos para ajudar na nossa recuperação.
CTO, Prática de Cuidados de Saúde Ortopédicos
Defender-se contra futuros ataques de ransomware nos cuidados de saúde
"Quando voltámos a estar de pé, precisávamos de saber que os criminosos tinham saído do nosso ambiente", explicou o Diretor de Tecnologia (CTO) da clínica. "Nessa altura, não sabíamos se ainda estávamos comprometidos. Tínhamos de partir do princípio de que eles estavam em todo o lado e tínhamos de os encontrar e eliminá-los."
A Sirius e a Semperis ajudaram a empresa a monitorizar o seu ambiente para discernir se ainda existia algum tipo de reconhecimento por parte do atacante. As ferramentas de segurança focadas no AD da Semperis, incluindo a solução de deteção e resposta a ameaças Directory Services Protector (DSP), ajudaram a organização a obter uma imagem precisa e completa do incidente e da sua postura de segurança do AD.
A ferramenta DSP cumpriu o prometido, mas penso que o verdadeiro valor da contratação da Semperis foi o seu pessoal e a sua profunda compreensão e conhecimento do AD e dos ataques baseados no AD.
CTO, Prática de Cuidados de Saúde Ortopédicos
Agora, o DSP analisa e monitoriza constantemente o ambiente de TI da clínica ortopédica, procurando configurações incorrectas do AD que os atacantes possam explorar para obter acesso. Além disso, o DSP monitoriza as alterações efectuadas ao AD e oferece a capacidade de reverter automaticamente actividades maliciosas, quer sejam ataques de agentes de ameaças ou erros inocentes de membros internos da equipa de TI.
Talvez o maior valor do DSP seja a sua capacidade de analisar o AD de uma forma mais profunda do que as ferramentas de segurança tradicionais. O DSP rastreia o fluxo de replicação do AD, que detecta ataques sofisticados e anteriormente invisíveis, como um DC Shadow - um ataque de cadeia de destruição em fase final que permite aos atacantes com credenciais privilegiadas registar controladores de domínio não autorizados. Com o aumento dos ataques de ransomware nos cuidados de saúde, estas medidas preventivas são vitais.
DSP Existem controlos para monitorizar constantemente o ambiente AD híbrido da clínica ortopédica. Os indicadores de exposição (IOEs) a ransomware de cuidados de saúde ou outros ataques e alterações suspeitas são assinalados para atenção imediata.
"Começámos realmente a levar as coisas para o nível seguinte", disse o CTO. "Agora usamos o site DSP para nos alertar sobre alterações na Política de Grupo. [As políticas de grupo controlam, em parte, o que os utilizadores podem ou não fazer num sistema informático.] Permitiu-nos implementar um controlo de alterações [interno] mais forte e processos de melhoria para evitar actividades de TI desonestas que podem ser convenientes para nós, mas não são seguras."
Sobre a Sirius Healthcare (uma empresa CDW)
Em todas as etapas do processo contínuo de cuidados de saúde e ao longo de todo o ciclo de vida da tecnologia, a Sirius Healthcare fornece as melhores soluções tecnológicas de vários fornecedores que ajudam as organizações de cuidados de saúde a melhorar a qualidade dos cuidados, controlar os custos, aumentar a segurança, cumprir os regulamentos e alargar o alcance às comunidades. Saiba mais sobre a Sirius Healthcare e contacte a Sirius hoje mesmo através do número 800-460-1237 para agendar uma discussão sobre as suas necessidades.