ALPHV/BlackCat fidye yazılımı grubu, UnitedHealth Group’un (UHG) bir yan kuruluşu olan Optum’u hedef alan, Change Healthcare platformunda kesintiye neden olan ve ABD genelinde eczane işlemlerini etkileyen siber saldırının sorumluluğunu üstlendi.
ALPHV/BlackCat geri döndü
Geçen Aralık ayında, ABD kolluk kuvvetleri fidye yazılımı grubunun web sitelerini başarıyla kapattı ve FBI bir şifre çözme aracı geliştirdi. Bu aksamaya rağmen grup hızla toparlandı ve faaliyetlerine devam etti.
Grup çarşamba günü bir yayın yayınladı. ifade Sızıntı sitelerinde Change Healthcare’in 6 TB’lık hassas verilerini çaldıklarını iddia ediyorlar:
- ABD askeri/deniz kuvvetleri personeline ait kişisel olarak tanımlanabilir bilgiler (PII)
- Tıbbi kayıtlar
- Diş kayıtları
- Ödeme bilgileri
- Talep bilgileri
- Telefon numaraları, adresler, Sosyal Güvenlik numaraları, e-postalar vb. dahil olmak üzere hastaların kişisel bilgileri.
- Sağlık Hizmetlerini Değiştir çözümleri için 3000’den fazla kaynak kodu dosyası
- Sigorta kayıtları ve daha fazlası.
Ayrıca, hassas verilere sahip olduklarını iddia ederek etkilenen Change Healthcare’in ortaklarını da listelediler.
Optum dün güvenlik bildirimini güncelleyerek, etkilenen Change Healthcare sistemlerini geri yüklemek için hala çalıştıklarını ve Optum, UnitedHealthcare ve UHG sistemlerinin etkilenmediğinden emin olduklarını belirtti.
Sağlık kuruluşları dikkatli olmalı
Salı günü, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Sağlık ve İnsani Hizmetler Bakanlığı (HHS), ALPHV/BlackCat grubu hakkında son dönemdeki özel odak noktalarına dikkat çeken ortak bir siber güvenlik tavsiye belgesi yayınladı. ABD sağlık kuruluşlarını hedef alıyor.
Ajanslar, “Aralık 2023’ün ortasından bu yana, sızdırılan yaklaşık 70 kurban arasında en çok mağdur edilen sektör sağlık sektörü oldu” dedi ve bunun ALPHV/BlackCat yöneticisinin, bağlı kuruluşlarını Aralık ayından sonra hastaneleri hedef almaya teşvik eden gönderisinin bir sonucu olduğunu öne sürdü. 2023’ün kaldırılması.
Güvenlik danışmanlığında ajanslar grubun en son TTP’lerini özetledi.
ALPHV/BlackCat bağlı kuruluşları, ilk erişimi elde etmek için kullanıcı kimlik bilgilerini elde etmek amacıyla sosyal mühendislik tekniklerini ve açık kaynak araştırmasını kullanıyor. Daha sonra veri sızmasına hazırlanmak için AnyDesk, MegaSync ve Splashtop gibi uzaktan erişim yazılımlarını ve daha fazla erişim için ek yasal uzaktan erişim ve tünel oluşturma araçlarını kullanırlar.
Kurbanların verilerini Mega.nz veya Dropbox hesaplarına taşıdıktan sonra fidye yazılımını dağıtmaya ve verileri şifrelemeye devam ediyorlar.
“ALPHV/BlackCat bağlı kuruluşları, ödemeyi teşvik etmek için istenmeyen siber iyileştirme tavsiyesi sunmayı teklif ediyor; kurbanlara sisteme nasıl sızdıklarını ve fidye alındıktan sonra gelecekte yeniden mağdur edilmeyi nasıl önleyeceklerini ayrıntılarıyla anlatan ‘güvenlik açığı raporları’ ve ‘güvenlik önerileri’ sunmayı teklif ediyor ödeme,” diye belirtti ajanslar.
FBI, CISA ve HHS, uzlaşma göstergeleri (IoC’ler) sağladı ve kuruluşları, ALPHV/BlackCat veya bağlı kuruluşları tarafından başlatılan bir fidye yazılımı saldırısının kurbanı olma olasılığını en aza indirecek tavsiyeleri uygulamaya teşvik ediyor.