Veri ihlali bildirimi, veri güvenliği, sahtekarlık yönetimi ve siber suç
Alabama Oftalmoloji Uygulaması, California Diş Kliniği Raporu İhlalleri
Marianne Kolbasuk McGee (Healthinfosec) •
12 Mayıs 2025
Siber suçlu çete Bianlian, Alabama merkezli bir oftalmoloji uygulamasının ve bir California diş kliniğinin son iki hackinde hasta bilgilerini çaldığını iddia ediyor. İki olay yaklaşık 150.000 kişiyi etkiledi ve gasp grubunun sağlık sektöründeki son saldırıları arasında yer aldı.
Ayrıca bakınız: Vmware karbon siyah uygulama kontrolü
Alabama Oftalmoloji Ortakları, 8 Nisan’da ABD Sağlık ve İnsan Hizmetleri Departmanı’na ihlalini, yaklaşık 132.000 kişiyi etkileyen bir ağ sunucusu ve masaüstü bilgisayar içeren bir hack olayı olarak bildirdi.
Alabama uygulaması, son haftalarda hack’in ardından açılan en az bir federal sınıf eylem davası ile karşı karşıya.
Bianlian veri soygunun ikinci olduğu iddia edilen San Mateo, Kaliforniya merkezli Sonrisas Dental Health, 2 Mayıs’ta HHS’nin Sivil Haklar Ofisi’ne bir ağ sunucusunu içeren ve yaklaşık 16.000 kişiyi etkileyen bir hack olayı olarak bir ihlal bildirdi.
Pazartesi günü Bianlian, her iki varlığı da Darkweb sızıntı alanında son kurbanlar olarak listeledi.
Alabama Hack
AOA, ihlal bildiriminde olayın mevcut ve eski hastaları etkilediğini söyledi.
AOA 30 Ocak’ta, ağ ortamında olağandışı faaliyetlerin farkına vardığını söyledi. Oftalmoloji uygulaması, “Keşif üzerine AOA, ağını güvence altına almak için adımlar attı ve neler olduğunu ve hassas verilerin etkilenip etkilenmiş olabileceğini araştırmak için önde gelen, bağımsız bir dijital adli tıp ve olay müdahale firması yaptı.” Dedi.
Soruşturma, “bilinmeyen bir aktör” in 22 Ocak ve 30 Ocak arasında bazı bilgilere eriştiğini ve aldığını buldu. Etkilenen verilerin gözden geçirilmesi, 19 Mart’ta potansiyel olarak etkilenen bilgilerin belirlenmesi tamamlanmıştır.
Tüm veri öğeleri tüm bireyler için etkilenmemiştir.
Dişhekimliği Uygulaması İhlali
Sonrisas, ihlal bildiriminde, belirli çalışanların ve hastaların verilerini etkilemiş olabilecek “siber gasp olayı” öğrendiğini söyledi. 4 Mart’ta yapılan uygulamanın dijital ortamındaki olağandışı faaliyetlerin farkına vardığını belirtti. Bu aktiviteyi belirledikten sonra klinik, dijital ortamını güvence altına almak ve araştırmak için derhal adımlar attığını söyledi.
Diyerek şöyle devam etti: “Bu soruşturmanın bir sonucu olarak, 14 Mart’ta, yetkisiz bir aktörün potansiyel olarak sistemlerimizde belirli dosyaları ve verileri aldığını öğrendik.” İnceleme devam etmekte ve tehlikeye atılan bilgiler bireye göre değişirken, potansiyel olarak etkilenen isimler, ehliyet numarası, sosyal güvenlik numarası, doğum tarihi ve diş görüntüsü bilgileridir.
Sonrisas, olaya potansiyel olarak dahil olan herhangi bir bilginin kötüye kullanıldığına dair hiçbir kanıt olmadığını söyledi.
Ne AOA ne de Sonrisas, bilgi güvenliği medya grubunun ilgili olayları hakkında ek ayrıntı ve Bianlian’ın Darkweb iddiaları hakkında yorum yapma taleplerine hemen yanıt vermedi.
Bianlian saldırıları
Bianlian, geçen Kasım ayında FBI, Siber Güvenlik Altyapısı ve Güvenlik Ajansı ve Avustralya Sinyalleri Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi tarafından bir ortak uyarı da dahil olmak üzere hükümet tavsiyelerinin konusu oldu (bakınız: Fedler Yeni Bianlian Fidye Grubu Saldırı Profilini uyarıyor).
Danışmanlık, daha önce çift gasp stratejileri kullanmaktan öncelikle veri hırsızlığına kaymış olan grubun, araştırmacıların çetenin saldırılarını atfetme girişimlerini karıştırmaya çalıştığı görüldüğü konusunda uyardı – diğer bazı fidye yazılım gruplarının da denediği bir hile.
Daha yakın zamanlarda, Mart ayında FBI, kimliği belirsiz suçlu aktörlerden şirket yöneticilerine posta postasıyla teslim edilen mektupları içeren bir aldatmaca hakkında fidye yazılımı grubu Bianlian’dan geldiğini iddia eden bir danışmanlık yayınladı.
“Bianlian, şu anda sağlık sektörünü hedefleyen en aktif fidye yazılımı grupları arasında,” dedi.
Biek, “Bianlian’ın arkasındaki aktörler bilinmiyor; ancak çoğunlukla bizi kurbanları hedefliyorlar ve istihbarat sahnesinin çoğunluğu onları Rusya merkezli bir gruba bağlıyor.” Dedi.
Lockbit veya Royal gibi diğer fidye yazılımı çetelerine kıyasla, Bianlian, özellikle aksaklık ve veri hassasiyetinin ödemek için yüksek baskı oluşturduğu hastaneleri ve tıbbi kuruluşları hedefleyen veri hırsızlığı ve gasp stratejisi için öne çıkıyor.
“Lockbit en üretken genel olarak olmaya devam ederken, Bianlian’ın saf gasplara geçişi ve sağlık hizmetlerinin tutarlı hedeflemesi, onu sektöre yönelik tehditlerin üst düzeyine koyuyor.” Dedi. “Hizmet olarak daha büyük fidye yazılımı gruplarından daha sessiz ve cerrahi olarak çalışır; örneğin, grup sızıntı alanına sık sık yayınlamaz.”
Bianlian kurbanlarına postalanan sahte mektuplara gelince, bu taktik alışılmadık.
“Fiziksel mektuplar göndermek çok nadir bir şey. Geçmişte, kurbanın yazıcılarına baskı yapmak için bir fidye notu gönderen fidye yazılımı gördük, ancak daha önce böyle fiziksel olarak postalanmış mektuplar gördüğümüz gibi söyleyemem.” Dedi.
“Güdü her zaman para kazanmaktır ve bir QR kodu ile fiziksel mektuplar göndermek çok garip bir hareket olsa da, yaratıcı olduğunu itiraf etmeliyim.”