Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri
Bölgesel Hastane Zincirine Yapılan Fidye Yazılımı Saldırısı Citrix Kanama İstismarını İçerdi mi?
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
28 Kasım 2023
Tennessee merkezli kuruluş Şükran Günü fidye yazılımı saldırısına yanıt vermeye devam ederken, Ardent Health Services tarafından işletilen birçok eyaletteki düzinelerce hastane ve diğer bakım tesislerinde acil bakım ve tele-sağlık randevuları da dahil olmak üzere hasta hizmetleri hala etkileniyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Günümüzün Tehditlerine Karşı Savunma
Hâlâ etkilenen birçok tesis arasında Ardent Health ve Hackensack Meridian Health – Montclair’deki Hackensack Meridian Mountainside Tıp Merkezi ve Westwood’daki Hackensack Meridian Pascack Valley Tıp Merkezi arasındaki ortak girişimin parçası olan iki New Jersey hastanesi yer alıyor.
Hackensack’tan biri şöyle dedi: “Bugün öğle saatlerinden itibaren Mountainside kritik bakım bölümüne geçti ve yerel ambulans hizmetlerinden kritik hastaları diğer bölgedeki acil servislere nakletmelerini istedi. Ambulans birimleri kritik olmayan hastaları hastaneye getirebiliyor. Pascack Valley Tıp Merkezi tam yönlendirmede kalmaya devam ediyor.” Meridian Health sözcüsü Salı günü Bilgi Güvenliği Medya Grubu’na söyledi.
“Sistemlerimizi tekrar çevrimiçi hale getirmek için çalışırken, her hastane acil servisteki kritik hastalara güvenli bir şekilde bakım sağlama yeteneğini değerlendirmeye devam edecek” dedi. “Bu hızla değiştiğinden ve bir dizi faktöre bağlı olduğundan, durum değiştikçe durumumuzu güncellemeye devam edeceğiz. Her iki hastane de acil servislerimize gelen tüm hastalara tıbbi tarama muayenesi ve stabilizasyon bakımı sağlamaya devam ediyor.”
Hackensack Meridian’ın randevusu veya prosedürünün yeniden planlanması gereken hastalarla doğrudan iletişime geçtiğini de sözlerine ekledi.
Hackensack Meridian Health’in New Jersey’de Ardent Health ortak girişiminin parçası olmayan başka hastaneleri ve bakım tesisleri de bulunmaktadır. Hackensack Meridian sözcüsü, bu konumların ayrı bir ağda barındırılması nedeniyle Ardent Health fidye yazılımı saldırısından etkilenmediğini söyledi.
Bölgesel Sorunlar
Daha büyük bir hastane işletmecisi olan Katolik kar amacı gütmeyen zincir CommonSpirit, geçtiğimiz sonbaharda tesislerinin tamamında olmasa da bazılarında BT sistemlerini etkileyen bir fidye yazılımı saldırısı sırasında benzer bir durumla karşılaştı. Önceki sahibi olan kuruluşla ilişkili hastane BT sisteminin konumu ve bağlantısı, saldırıdaki iki önemli faktördü (bkz.: CommonSpirit’in Fidye Yazılımı Olayı Hastalara Zarar Veriyor).
Ardent Health, 140 hastane ve 2.200 diğer bakım tesisine sahip olan CommonSpirit’ten çok daha küçük olmasına rağmen, son yirmi yılda çok sayıda satın alma ve ortak ortaklık yoluyla 30 hastanesini ve 200’den fazla diğer sağlık hizmeti kuruluşunu da büyüttü.
Fidye yazılımı saldırısından etkilenen diğer Ardent Health hastaneleri arasında Ardent Health’in Teksas’ta işlettiği birkaç Texas Üniversitesi (veya UT Health) tesisinin yanı sıra Oklahoma, Kansas, Idaho ve New Mexico’daki çok sayıda hastane ve diğer tıbbi bakım tesisleri yer alıyor.
twSecurity’nin kıdemli güvenlik danışmanı Wendell Bobst, her hastane veya sistemin kendine özgü teknolojiler, uygulamalar ve eski ekipmanlara sahip olduğunu söyledi. Ardent durumunda, şu ana kadar kuruluşun ağının bir kısmının ihlal edildiği ve diğer bölge veya bölgelerdeki bazı hastanelerin etkilenmeden kaldığı görülüyor, dedi.
“BT’nin BT hizmetlerini merkezileştirmesi veya bölgeselleştirmesi yaygın bir durumdur ve bu bölgesel merkezlerden biri darbe almış gibi görünüyor” dedi. “Ardent daha büyük bir sistem olduğundan, olgun uygulama ve teknolojilere sahip olma konusunda daha yüksek beklentilerimiz var. Neyse ki Ardent’in fidye yazılımının diğer bölgelere yayılmasını önleyen bazı iç kontrolleri var gibi görünüyor” dedi.
Ardent Health olayı aynı zamanda son aylarda bölgesel hastanelerin işletmecilerini hedef alan bir dizi siber saldırının sonuncusudur.
BT hizmetleri sağlayıcısı TransForm Shared Services ve Ontario’daki beş üye hastanesi, kuruluşların BT sistemlerini çevrimdışına almaya ve hastaları diğer bölgedeki tesislere yönlendirmeye zorlayan Ekim ayındaki fidye yazılımı saldırısından tamamen kurtulmak için hala çalışıyor (bkz: Ontario Hastaneleri Aylık Fidye Yazılımı Kurtarmayı Bekliyor).
Ayrıca merkezi Kaliforniya’da bulunan ancak çeşitli eyaletlerde 17 bölgesel hastane ve klinik işleten Prospect Medical Holdings ve Mississippi Körfez Kıyısı bölgesinde hizmet veren üç hastane ve çok sayıda tıbbi tesise sahip Singing River Health System’in her biri yaz boyunca fidye yazılımına maruz kaldı. haftalarca hasta bakımının aksamasına neden olan saldırılar.
Güvenlik firması Emsisoft’ta tehdit analisti olan Brett Callow, “Hastanelere yönelik fidye yazılımı saldırıları, özellikle ambulansların bir sonraki en yakın hastaneye yönlendirilmesi gerektiğinde, hastalar için çok ciddi bir risk teşkil ediyor” dedi. “Hastanelerimizi daha iyi korumanın bir yolunu bulamazsak, saldırının can kaybıyla sonuçlanması kaçınılmaz. Şu ana kadar bunun gerçekleşmemiş olması kısmen şansa bağlı ve bu şans eninde sonunda tükenecek. “
Şükran Günü Saldırısı
Pazartesi günü Ardent Health, Şükran Günü sabahından bu yana bir siber saldırıyla uğraştığını doğruladı (bkz: Hastane Zinciri Fidye Yazılımı Saldırısıyla Vuruldu).
Ardent Health, buna yanıt olarak kuruluşun ağını çevrimdışına aldığını ve kurumsal sunucular, Epic elektronik sağlık kayıt yazılımı, internet ve klinik programlar da dahil olmak üzere bilgi teknolojisi uygulamalarına tüm kullanıcı erişimini askıya aldığını söyledi.
Bu arada Ardent Health, olayın Ardent’in klinik ve mali operasyonlarının belirli yönlerinde “geçici aksamaya” yol açtığını ve tesislerinin “çok dikkatli” olarak bazı acil olmayan, seçmeli prosedürleri yeniden planladığını ve bazı acil servislerin yönünü değiştirdiğini söyledi. Sistemler yeniden çevrimiçi olana kadar hastaları diğer bölge hastanelerine.
Ayrıca Ardent Health’in MyChart hasta portalı ve geçici olarak kullanılamayan isteğe bağlı video telesağlık ziyaretleri de etkilendi. Kuruluş, “Ateşli ekipler, sistemlerimizi tekrar çevrimiçi hale getirmek ve tüm uygulamaları tam olarak çalışır duruma döndürmek için bir zaman çizelgesi oluşturmak için 24 saat çalışıyor. Şu anda, tam erişimi geri yüklemek için kesin bir zaman çizelgesine sahip değiliz” dedi.
Ardent Health, ISMG’nin fidye yazılımı saldırısı ve kuruluşun kurtarma durumuyla ilgili ek ayrıntılara ilişkin talebine hemen yanıt vermedi.
Güvenlik açığından yararlanıldı mı?
Bu arada Ardent Health, saldırısıyla ilgili ayrıntıları kamuya açıklamamış olsa da olay, bazı güvenlik uzmanlarının hem NetScaler ADC’yi hem de Gateway cihazlarını etkileyen kritik bir güvenlik açığı olan Citrix Bleed’in kötüye kullanılmasını içerdiğinden şüphelenilen ülke çapındaki bir dizi doğrulanmamış BT kesintisi arasında yer alıyor.
NetScaler, 10 Ekim’de Citrix Bleed olarak da bilinen kritik bir güvenlik açığı olan CVE-2023-4966 için bir güvenlik uyarısı ve yaması yayınladı (bkz.: Citrix Bleed İstismarlarının Ortasında NetScaler Uyarıyor: Oturumları Öldürün).
Daha sonra hem ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı hem de Google Cloud’un Mandiant tehdit istihbarat birimi, saldırganların yamanın yayınlanmasından önce bu kusurdan aktif olarak yararlandıklarını bildirdi.
First Health Advisory danışmanlık şirketinin kurucusu ve CEO’su Carter Groome, “Doğrulanmamış olsa da, bu kesintilerin en azından bazılarının belirli Citrix sunucularında bulunan bilinen bir güvenlik açığına bağlı olduğundan şüpheleniliyor” dedi. “Şirket bu kusurları bir aydan fazla bir süre önce yamaladı, ancak sağlık hizmetlerinde hızlı yama yapmak zor bir iştir.”
Groome, Ardent Health, Prospect Medical ve benzer son sağlık sektörü siber saldırılarının “bütçelerin çok kısıtlı olduğu ve hastanelerin güvenlik açığını hızlı bir şekilde ele alacak, yamalayacak ve düzeltecek iş gücü ve/veya araçlardan yoksun olduğu bir ortamda normal” olduğunu söyledi.
“Sağlık sistemlerinin büyük bir çoğunluğunun siber dayanıklılığı sağlamak için gerekli yatırımlardan yoksun olduğunu da eklemeye gerek bile yok” diye ekledi.