Dolandırıcılık Yönetimi ve Siber Saldırı, Sağlık, HIPAA/HITECH
Grubun Danışmanlığı, ABD’den, Avustralya ajanslarından güncellenmiş bir ortak uyarıyı takip ediyor
Marianne Kolbasuk McGee (Healthinfosec) •
11 Haziran 2025
Amerikan Hastane Derneği, oyun fidye yazılımı grubunu içeren artan çift genişlemeli saldırı tehditlerinin hastanelerini ve diğer sağlık sektörü kuruluşlarını uyarıyor.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
AHA Alert, geçen hafta FBI, Siber Güvenlik ve Altyapı Güvenlik Ajansı ve Avustralya Siber Güvenlik Merkezi tarafından Play’in en son taktikleri hakkında yayınlanan güncellenmiş bir ortak danışmanlığı izliyor.
FBI, Mayıs 2025 itibariyle PlayCrypt olarak da bilinen oyun fidye yazılımı grubu tarafından sömürülen yaklaşık 900 etkilenen kuruluşu saydığını söyledi. Etkilenen şirketler, Kuzey Amerika, Güney Amerika ve Avrupa’daki çeşitli işletmeler ve kritik altyapı firmalarını içeriyor. FBI, geçen yıl Play fidye yazılımının en aktif fidye yazılımı grupları arasında olduğunu söyledi.
AHA’nın Siber Güvenlik ve Risk Ulusal Danışmanı Yardımcısı Scott Gee, “Grup ilk olarak 2022’de gözlemlendiğinden beri Play dünyadaki sağlık sektörünü hedef aldı.” Dedi.
“Bu, fidye yazılımı saldırısının bakım sunumuna etkisi nedeniyle hastaneler ve sağlık sektörü için potansiyel olarak önemli bir tehdit oluşturdukları anlamına geliyor.” Dedi. Diyerek şöyle devam etti: “Bu tehlike sadece hastanelere doğrudan saldırı tehdidinden değil, aynı zamanda hastanelerin operasyonlarını da bozabilecek kritik üçüncü taraf tedarikçilerden geliyor.”
FBI, CISA ve ACSC’nin uyarısı grubun gelişen taktiklerinin altını çiziyor “ve sağlık siber güvenlik ekipleri değişikliklerin farkında olmalı” dedi.
Gee, “Tehdit aktörleri taktikleri değiştirdikçe, ağ savunucularının ayak uydurması çok önemlidir.” Dedi. “Çift katmanlı gasp modeli ve sistemlerin şifrelemesi ve veri hırsızlığı, hastaneler için ciddi bir potansiyel risk ve sağlık hizmetlerinin sunulmasıdır.”
Son Play Detayları
Devlet kurumlarının en son danışmanlığı, Aralık 2023’te Play fidye yazılımı hakkında yayınladıkları ortak bir uyarıya bir güncelleme sağlar.
Hükümetin en son danışmanlığı, bu önceki danışmanlıktan bu yana, Play Fidansware Group’un yeni taktikler, teknikler ve prosedürler kullandığını ve diğer yeni hamleler yaptığını söyledi.
Her biri benzersiz bir @gmx.de veya @web alan oyun kurbanını içerir[.]İletişim için e -posta. Hükümet danışmanlığı, “Mağdurların bir kısmı telefonla temasa geçiyor ve çalınan verilerin serbest bırakılmasıyla tehdit ediliyor ve fidye ödemeye teşvik ediliyor.” Dedi.
Oyun fidye yazılımı Grubu, geçerli hesapların kötüye kullanılması, büyük olasılıkla karanlık web’de elde edilen ve Fortinet ve Microsoft Exchange gibi kamuya açık uygulamalarda güvenlik açıklarının kullanımı ve uzak masaüstü protokolü ve sanal özel ağlar gibi dışa bakan hizmetlerin kullanılmasıyla mağdur ağlara ilk erişim kazanıyor.
Ancak şimdi, fidye yazılımı operatörlerini oynamak için bağları olan başlangıç erişim brokerleri de dahil olmak üzere birden fazla fidye yazılımı grubu, birçok ABD tabanlı kuruluşta uzaktan kod yürütme yapmak için uzaktan izleme ve yönetim aracı Simplehelp’de üç güvenlik açıklarından-CVE-2024-57727-sömürüyor (bakınız: bkz: bkz: Tedarik zinciri saldırıları gerçekten artıyor).
Fidye yazılımı oyuncusu oyun oynatın, kobalt grev ve SystemBC gibi komut ve kontrol uygulamalarını kullanır ve yanal hareket ve dosya yürütmeye yardımcı olmak için Psexec dahil araçlar. Devlet ajansları, “Bir ağda kurulduktan sonra, fidye yazılımı aktörleri teminatsız kimlik bilgilerini arıyor ve etki alanı yöneticisi erişimi kazanmak için Mimikatz kimlik bilgisi tamponunu kullanıyor.” Dedi.
Hükümet ajanslarının uyarısı, Play’in exfiltration ve şifrelemesi söz konusu olduğunda, grubun fidye yazılımı ikili şimdi her saldırı için yeniden derleniyor, “her dağıtım için benzersiz karma ve virüs programı tespiti karmaşıklaştırıyor” dedi.
Aha, “Oyunun ‘anlaşmaların gizliliğini garanti etmek için tasarlanmış kapalı bir grup olduğu varsayılıyor'” dedi.
Diyerek şöyle devam etti: “Verileri püskürttükten sonra sistemleri şifreleyen bir çift genişlemeli model kullanıyorlar. Fidye notları ilk fidye talebi veya ödeme talimatları içermiyor. Bunun yerine, mağdurlara tehdit aktörleriyle e-posta yoluyla iletişim kurmaları talimatı veriliyor.”
Sağlık sektöründeki kuruluşlar da dahil olmak üzere kuruluşların fidye yazılımı tehditlerini azaltmaya yardımcı olmak için kritik önlemler almaları istenmektedir.
Bu, grup tarafından kullanılan bilinen güvenlik açıklarının azaltılmasına öncelik verilmeyi içerir; en son sürümlerine yazılım ve uygulamaların yama ve güncellenmesi; düzenli güvenlik açığı değerlendirmeleri yapmak; ve tüm hizmetler için ve özellikle kritik sistemlere erişen webmail, VPN ve hesaplar için çok faktörlü kimlik doğrulamasının uygulanması.
Gee, “Ses siber güvenlik uygulamaları – kimlik avına dirençli çok faktörlü kimlik doğrulama, VPN erişim ve yama yönetimi ile ilgili kontroller – oyundan gelen saldırılara karşı savunmanın en iyi yollarıdır.” Dedi.