Dark web forumunda yer alan gönderide, Kaliforniya’da bulunan St Rose Hastanesi’nin ve Alameda County’de 100 milyon dolarlık gelire sahip belirlenmiş bir kalp durması merkezinin en son hedefleri arasında olduğu belirtildi.
Sağlık sektörü, hasta verilerini yüksek risk altında bırakarak bilgisayar korsanları için kolay bir hedef olmaya devam ediyor.
Tehdit aktörünün karanlık web forumunun ekran görüntüsü
Tehdit aktörü grubu, sahip oldukları bilgilerin açıklamasının altında finansal, ticari ve hasta verilerini kaydetti. Tıbbi kayıtlara ve St Rose Hastanesi’ndeki hastaların taramalarına ilişkin 195 GB veriye sahip olduklarını iddia ediyorlar. Üstelik e-postalar, proje detayları, kaza raporları ve bina planları çalınan verileri arasında.
Aşırı dozda uyuşturucu, taciz, telefon ve SSN’nin ayrıntılarının herkesin görmesi için yayınlanacağı gerçeği nedeniyle tehditleri endişe verici. Gönderi, yalnızca sızdırdıkları bazı belge türlerini listeler. Ancak iddialar doğruysa, bu yıl Avustralyalı sigorta devi Medibank’ın sistemlerinden ifşa edilen veriler gibi karanlık ağa düşmesinden korkulan çok daha fazla veriye sahip olabilirler.
Gönderi, söz konusu verileri yakında forumlarına sızdıracaklarını belirten ‘VERİLER YAKINDA’ ifadesiyle sona eriyor. Cyber Express, St. Rose Hastanesi’ne ulaştı ancak henüz herhangi bir bilgi veya yanıt almadı.
Bir bakışta BianLian fidye yazılımı grubu
Çin’deki anında Yüz Değiştiren sanat formu gibi, bu fidye yazılımı grubu da kurbanlarının listelerine anında numaralar ve isimler ekler. Genel amaçlı kullanılan açık kaynaklı bir programlama dili olan uyarlanabilir Golang’ı kullanarak fidye yazılımı geliştiriyorlar.
Cyble tarafından listelenen BianLian kurbanları, Amerika Birleşik Devletleri, Birleşik Krallık ve Avustralya’nın sık sık hedef alınan ülkeler arasında olduğunu gösteriyor. Bu finansal olarak motive edilmiş bir gruptur.
BianLian’ın hedeflediği sektörler (Kaynak: Cyble)
Fidye yazılımı saldırısının başarıyla başlatılmasının ardından, BianLian fidye yazılımı kendini siler ve kurbanların sisteminde şifrelenmiş dosyaları geride bırakır. Grubun fidye notunda belirtilen fidye tutarını bırakmadığı biliniyor.
Şifrelenmiş dosyalardan bir örnek (Kaynak: Cyble)
CISA, kullanıcıları fidye yazılımı saldırılarını bildirmeye ve fidye ödememeye çağırıyor. Blackberry araştırmacıları, bloglarında dosyaların yasal olup olmadığını kontrol etmek için dosya oyma (D3-FC) kullanmak, uygulamaların dosyaları nasıl kullandığını görmek için dosya erişim modeli analizi (D3-FAPA) ve uzak terminal oturumu algılamayı denemek gibi bazı azaltma adımlarını not ettiler. (D3-RTSD) ağ üzerinde herhangi bir yetkisiz erişimi izlemek için.
Ayrıca veri toplayan, savunma kaçırmayı gerçekleştiren ve proxy’yi yürüten saldırgan bir mekanizma olan dosya oluşturma analizine (D3-FCA) gidebilirler.