Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri
Georgia Merkezli Memorial Hastanesi ve Malikanesi Ambargo Grubunun Son Kurbanları Arasında
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
11 Kasım 2024
Fidye yazılımı sahnesine nispeten yeni gelen bir grup olan Ambargo, Salı gününden önce fidye ödenmediği takdirde geçen hafta saldırıya uğrayan küçük bir kırsal Georgia hastanesi ve bakımevine ait 1,15 terabaytlık veriyi yayınlamaya başlamakla tehdit ediyor.
Ayrıca bakınız: Yeni Siber Güvenlik Raporlama Gereksinimlerine Hazırlık
Siber suç grubu Pazartesi günü karanlık web sitesinde, 80 yataklı bir devlet hastanesi ve 107 yataklı uzun süreli bakım tesisi olan Memorial Hastanesi ve Malikanesi’nden çalındığı iddia edilen veri hazinesini sızdırmak için saatler ve dakikalar içinde geri sayımı başlattı. Willow Ridge, Bainbridge Şehri ve Decatur İlçesi Hastane İdaresi’nin sahibi olduğu ve işlettiği 22 yataklı bir kişisel bakım tesisidir.
Memorial Hastanesi ve Manor sözcüsü Jamie Sinko, geçen hafta Information Security Media Group’a yaptığı açıklamada, çalışanların olayı tespit etmesinin ardından 1 Kasım’da saldırının Memorial Hastanesi ve Manor’un EHR’ler ve e-posta da dahil olmak üzere BT sistemlerini kilitlediğini söyledi (bkz: Saldırı Küçük Kırsal Georgia Hastanesi ve Huzurevini Vurdu).
Memorial Hastanesi ve Manor, Pazartesi günü ISMG’nin BT kesintisine ilişkin güncelleme ve Embargo’nun veri web sitesinin kuruluşun verilerini sızdırmaya yönelik tehditleri hakkında yorum yapma taleplerine hemen yanıt vermedi.
Hastane ayrıca, elektronik sağlık kayıtlarına ve diğer BT sistemlerine erişimi etkileyen bir fidye yazılımı saldırısıyla uğraşan toplumu uyaran Facebook sayfasından 1 Kasım tarihli bir gönderiyi de kaldırmış görünüyor.
Ambargo’nun blog sitesi, Memorial Hastanesi ve Malikanesi’nin yanı sıra, diğer bir sağlık sektörü kuruluşu olan Idaho’daki Weiser Memorial Hastanesi de dahil olmak üzere en az sekiz mağdur olduğu iddia edilen kişiyi listeliyor ve 200 gigabaytlık toplum tıp merkezi ve aile hekimliği muayenehanesinin satın alınabilecek verilerinin “mevcut” olduğunu iddia ediyor .
Weiser Memorial Hastanesi sözcüsü, hastanenin soruşturmasının “devam ettiğini” söyleyerek ISMG’nin Embargo’nun iddiaları hakkında yorum yapma talebini reddetti.
Ambargo, ABD, Avustralya ve Avrupa’daki diğer kurbanları da listeliyor. Buna Güney Carolina’daki Summerville Polis Departmanı, bir Michigan eyalet hükümeti, bir Alman tedarik zinciri hizmetleri şirketi ve Avustralya’da borç vermeyen bir banka da dahildir.
İlk olarak baharda ortaya çıkan Ambargo, web sitesinde kendisini “hiçbir siyasi bağlantısı olmayan uluslararası bir ekip” olarak tanımlıyor. Ancak bazı güvenlik araştırmacıları, çetenin karmaşık ve iyi kaynaklara sahip göründüğünü ve muhtemelen bir hizmet sağlayıcı olarak fidye yazılımı olarak faaliyet gösterdiğini söylüyor.
Güvenlik firması ESET’teki araştırmacıların geçen ayın sonlarında hazırladığı bir raporda, grubun, verileri şifrelemenin yanı sıra kurbanların hassas verilerini sızdırarak ve bunları bir sızıntı sitesinde yayınlamakla tehdit ederek çifte şantaj kullanarak kurbanlara fidye ödemeleri konusunda baskı uyguladığı belirtildi.
ESET, yakın zamanda Embargo fidye yazılımının yayılmasına yol açan yeni araçlar keşfettiğini söyledi. Yeni araç seti, ESET’in sırasıyla MDeployer ve MS4Killer olarak adlandırdığı bir yükleyici ve bir uç nokta algılama ve yanıt sonlandırıcıdan oluşur (bkz.: Ambargo Fidye Yazılımı Güvenlik Savunmalarını Devre Dışı Bırakıyor).
ESET, Ambargo araç setinin temel amacının, kurbanın altyapısındaki güvenlik çözümünü devre dışı bırakarak fidye yazılımı yükünün başarılı bir şekilde dağıtılmasını sağlamak olduğunu söyledi. Raporda, “Ayrıca saldırganların aktif bir saldırı sırasında araçlarını belirli bir güvenlik çözümü için anında ayarlama yeteneğini de gözlemledik” denildi.
ESET, “MS4Killer, her kurbanın ortamı için özel olarak derlendiği ve yalnızca seçilen güvenlik çözümlerini hedef aldığı için özellikle dikkat çekicidir.” dedi.
ESET raporda, “Kötü amaçlı yazılım, kurbanın makinesinde çalışan güvenlik ürünlerini devre dışı bırakmak için Güvenli Modu ve savunmasız bir sürücüyü kötüye kullanıyor. Her iki araç da Embargo grubunun fidye yazılımını geliştirmek için tercih ettiği dil olan Rust dilinde yazılmıştır.”
ESET, BlackCat ve Hive’ın da Rust’ta fidye yazılımı geliştiren diğer siber suç grupları arasında yer aldığını söyledi.
ESET, BlackCat ve LockBit gibi grupları etkileyen son emniyet tedbirlerinin, Ambargo gibi yeni tehdit aktörlerinin ortaya çıkmasını da içeren RaaS alanında bazı yeniden yapılanmaları tetiklediğinden şüpheleniyor (bkz.: RansomHub Hit’leri Eski İştiraklerimiz Lockbit, BlackCat Tarafından Desteklenmektedir).
Bu arada Cuma günü Biden yönetimi yetkilisi Anne Neuberger, Birleşmiş Milletler Güvenlik Konseyi’ne verdiği brifing sırasında fidye yazılımını yalnızca siber güvenlik sorunu olmayan bir halk sağlığı krizi olarak nitelendirdi (bkz: Beyaz Saray, Fidye Yazılımının Sağlık Hizmetlerindeki Saldırıları Nedeniyle Rusya’yı Eleştirdi).
Beyaz Saray’ın ulusal güvenlik danışman yardımcısı Neuberger, Rusya’yı “fidye yazılımı aktörlerinin kendi topraklarında, kendilerinden bunu dizginlemeleri istendikten sonra bile cezasız bir şekilde faaliyet göstermesine” izin vermekle suçladı. ABD’de ve başka yerlerde hastalara tıbbi bakım sağlanmasını kesintiye uğratan saldırıların, kamu güvenliğine doğrudan tehdit olduğunu ve insan hayatını tehlikeye attığını söyledi.