Veri ihlali bildirimi, veri güvenliği, sahtekarlık yönetimi ve siber suç
Şimdi uykuda çete, bu yıl veri sızıntısı sitesinde Florida gruplarının North Carolina’yı iddia etti
Marianne Kolbasuk McGee (Healthinfosec) •
22 Eylül 2025
Biri Kuzey Carolina’da ve diğeri Florida’da iki tıbbi uygulaması, sağlığı ve diğer hassas bilgileri bu yılın başlarında ayrı hack olaylarında çalınan toplam 700.000’den fazla hastayı bilgilendiriyor. Dark web sitesindeki şimdi uyuyan fidye yazılımı çetesi Bianlian, bu yılın başlarında kurbanları arasında her iki kuruluşu da iddia etmişti.
Ayrıca bakınız: Ondemand | Eşsiz keşif ve savunma ile API güvenliğini dönüştürün
Doğu Kuzey Carolina’da 38 tıbbi bakım alanına sahip federal olarak nitelikli bir Toplum Sağlığı Merkezi olan Goshen Tıp Merkezi, 17 Eylül’de Maine Başsavcısı da dahil olmak üzere federal ve eyalet düzenleyicilerine bildirdi ve olayının yaklaşık 456.400 kişiyi etkilediğini söyledi.
Bu arada, bölgede altı aile hekimliği ve uzmanlık sağlık yeri olan Brevard merkezli Florida merkezli tıbbi ortakları Melbourne, 5 Eylül’de federal düzenleyicilere hackinin yaklaşık 247.000 kişiyi etkilediğini söyledi.
Siber suç çetesi Bianlian her iki kuruluşu da Mart ayında Goshen ve Ocak ayında MAB’de Karanlık Web Sitesi – Goshen’de kurban olarak listeledi.
Ne MAB ne de Goshen Medical, Bianlian’ın iddiaları hakkında yorum da dahil olmak üzere, bilgi güvenliği medya grubunun ilgili hack’leri hakkında ek ayrıntılar taleplerine hemen yanıt vermedi.
Bianlian karanlık gitti
Güvenlik İzleme Web Sitesi Ransomware.Live Counts 553 Bianlian Mağdurları Grup ilk olarak Temmuz 2022’de ortaya çıktı. Güvenlik araştırmacıları, Bianlian’ın en son kurbanının Mart ayı sonlarında keşfedildiğini söyledi. O zamanlar FBI, şirket yöneticilerinin “Bianlian Grubu” nun hassas kurumsal verileri çaldığını iddia eden potansiyel olarak hileli salyangoz posta mektupları arayışında olması konusunda uyardı.
Mektup yazarları 10 gün içinde 250.000 ila 500.000 dolar arasında bir ödeme talep ettiler. Ancak mektupların arkasında olan FBI, gaspçıların görünüşe göre gerçek Rusya merkezli Bianlian fidye yazılımı operasyonu ile ilişkili olmadığını söyledi (bakınız: Breach Roundup: ABD Yaptırımları İran merkezli Nemesis Admin).
Güvenlik firması GuidePoint Security’nin ana tehdit istihbarat danışmanı Grayson North, “Bianlian, 31 Mart’tan beri veri sızıntı sitesinde yeni bir kurban talep etmedi. O zamandan beri bu gruba atfedilen yeni saldırılar gözlemlemedik.” Dedi.
“Özellikle, bu hareketsizlik, ImpoSters’ın grubun adını kullandığı ‘Salyangoz Postası’ fidye yazılımı kampanyasını bildirdikten birkaç hafta sonra başladı. Kanıt koşullu olsa da, Bianlian grubunun bu kampanyanın isimlerine yönelik olumsuz duygular yarattığını ve itibarlarını hasar gördüğünü değerlendiriyoruz.” Dedi.
Yetkili, “İtibar, fidye yazılımı grupları için son derece önemlidir, çünkü gasp ödemeleri vaatlerini yerine getirecekleri bir dereceye kadar güvene dayanır. Bianlian’ın arkasındaki aktörlerin operasyonlarını ‘yeniden markalaştırdıklarını’ ve olumsuz raporlamanın kârlılığını etkilememesini sağlamak için farklı bir isim altında çalışmaya devam etmelerini muhtemel buluyoruz.” Dedi.
Bununla birlikte, Pazartesi itibariyle, bu aktörlerin şu anda nerede çalıştığına dair kesin bir kanıt olmadığını söyledi. “Bazen, yeni tehdit grupları, taktikler ve kod tabanlarındaki benzerlikler yoluyla seleflerine bağlanabilir, ancak ekibimiz veya siber güvenlik topluluğu tarafından henüz böyle bir sonuç çıkarılmamıştır.”
Goshen Tıp Merkezi Hack
Goshen, ihlal bildiriminde, 4 Mart’ta BT ağında şüpheli etkinlik tespit ettiğini söyledi.
Tıbbi sağlayıcının üçüncü taraf siber güvenlik uzmanları ile olayı soruşturması, belirli Goshen dosyalarına 15 Şubat’ta izin verilmeden erişilmiş veya edinilmiş olabileceğini belirledi.
“Daha sonra etkilenen verilerin kapsamlı bir incelemesini üstlendik ve 12 Eylül’de veya yaklaşık 12 Eylül’de bazı kişisel sağlık bilgilerinin dahil olduğunu öğrendik,” dedi Goshen, şimdiye kadar “potansiyel olarak etkilenen herhangi bir bilginin kötüye kullanımı veya kötüye kullanılması konusunda hiçbir kanıt olmadığını” da sözlerine ekledi.
Goshen, potansiyel olarak tehlikeye atılan bilgilerin isim, adres, doğum tarihi, sosyal güvenlik numarası, ehliyet numarası ve tıbbi kayıt numarasını içerdiğini söyledi.
Olaydan bu yana Goshen, gelecekte benzer bir olay riskini azaltmak için ek önlemler uyguladığını söyledi.
Goshen, etkilenen bireylere 12 aylık ücretsiz kredi ve kimlik izleme sunuyor.
Brevard ihlalinin tıbbi ortakları
MAB, ihlal bildiriminde, sistemlerini etkileyen bir “cezai siber saldırıya” maruz kaldığını söyledi. Sağlık hizmeti sağlayıcısı, olayın ne zaman tespit edildiğini belirtmedi.
MAB’in üçüncü taraf siber güvenlik uzmanlarıyla yaptığı soruşturma, bilgisayar korsanlarının bireylerin korunan sağlık bilgilerine ve kişisel olarak tanımlanabilir bilgilerine eriştiğini veya edindiklerini belirledi.
İhlal edilen bilgiler potansiyel olarak isimler, doğum tarihleri, sosyal güvenlik numaraları, ehliyet numaraları, eyalet kimlik numaraları, tıbbi tedavi bilgileri, sağlık sigortası bilgileri ve sınırlı sayıda kişi için finansal hesap bilgilerini içerir.
MAB, etkilenen bireylere 12 aylık ücretsiz kimlik ve kredi izleme sunmaktadır.
Ana hedefler
North, Bianlian uykuda görünse de, GuidePoint Security’nin hala sağlık kuruluşlarının “alanda bol miktarda grup tarafından vurulduğunu” gördüğünü söyledi.
Firmanın verilerine göre, yıl başından Ağustos ayının sonuna kadar, 300 sağlık kurbanı fidye yazılımı grupları tarafından kamuya açıklandığını söyledi.
Bu yıl, sağlık hizmetlerinin üretimin arkasındaki en çok etkilenen endüstri olduğunu – 625 kurban, teknoloji – 412 kurban ve ‘perakende ve toptan satış’, 348 kurbanla.
Kuzey, sağlık kurbanlarını etkileyen fidye yazılımı grupları arasında, şu ana kadar 42 kurbanla şu anda fidye en üretken olanı. Inc’i, sağlık sektöründe 40 kurban iddia eden Qilin takip ediyor.
“Inc ve Qilin şu anda alanda çok aktif. Qilin, farklı iştiraklerin kabul edilebilir ve kabul edilemez kurbanlarda çok az kuralla fırsatçı bir şekilde saldırılar yürüttüğü bir hizmet olarak fidye yazılımı modelinde faaliyet göstermektedir.” Dedi.
INC, Qilin ve sağlık sektörünü düzenli olarak hedefleyen diğer gruplar, kişisel sağlık verilerini çalarak kazanılan kaldıraçtan etkilenmektedir. Yetkili, aktörün kurbanların etiğine itiraz etmeye çalıştığı sağlık kuruluşları adına fidye yazılımı aktörleri ile birden fazla müzakere yaptık, tehdit aktörleri kurbanları hastalarının gizliliğini korumak için fidye ödemek için bir göreve sahip olduklarına ikna etmeye çalıştık. “Dedi.
GuidePoint, tehdit oyuncusu ile kurbanın VPN’si aracılığıyla geçerli bir hesaba giriş yapmasıyla başlayan “muazzam” miktarda saldırı görüyor.
“Bu, genellikle unutulmuş bir hizmet hesabından veya yanlış yapılandırılmış veya var olmayan çok faktörlü kimlik doğrulama politikalarıyla birlikte zayıf bir şifreli bir yöneticiden kaynaklanır.” Dedi.
North, firmanın tehdit aktörlerinin VPN’yi ve diğer kenar cihazlarını hedeflemesiz güvenlik açıkları ile hedeflemeye devam ettiğini söyledi. “Tehdit aktörleri şu anda bu vektöre odaklanıyorlar, çünkü bu cihazlara tasarım gereği internet üzerinden erişilebilir olmalıdır. Bu cihazlar tehlikeye atıldıktan sonra, tehdit aktörlerine kurbanın ağında anında bir dayanak veriyor.” Dedi.
Savunucular, güçlü bir MFA çözümünün yerinde olmasını ve her bir VPN girişinde uygulanmasını sağlamalıdır – istisnasız olarak. “Buna ek olarak, kuruluşlar VPN erişilebilir hesaplardaki karmaşık şifre politikalarını uygulamalıdır. Son olarak, savunucular VPN’ler, güvenlik duvarları, vb.