Geçen hafta 16 hastaneyi etkileyen yaygın bir fidye yazılımı saldırısı, temizlik çalışmalarının devam etmesine yol açtı.
Geçen hafta fidye yazılımı tarafından vurulan 16 hastane, hâlâ saldırının sonuçlarıyla uğraşıyor. Connecticut, Pensilvanya, Rhode Island ve California’da bulunan sağlık tesislerinde fidye yazılımı saldırısı FBI tarafından doğrulandı. Geçen Perşembe günü hastaların başka yerlere yönlendirilmesi ve bazı operasyonların askıya alınmasıyla sorunlar ortaya çıkmaya başladı.
AP, personelin kalem ve kağıda başvurmaya ve kayıtları farklı departmanlara manuel olarak çalıştırmaya zorlandığını bildirdi. Potansiyel olarak kritik sağlık sorunlarıyla uğraşırken her saniye önemlidir ve bu, özellikle çok sayıda kritik sağlık ekipmanının ağlara ve birbirine bağlı dijital sistemlere bağlı olduğu durumlarda geçerlidir.
Waterbury Hospital, CT’den yakın tarihli bir Facebook güncellemesi şu şekildedir:
Bilgisayar sistemlerimiz ağ boyunca kapalı olmaya devam ediyor. Kağıt kayıtların kullanımı da dahil olmak üzere kesinti prosedürlerini takip ediyoruz. Kesinti, çoğunlukla teşhis amaçlı görüntüleme ve kan alımı ve bazı hasta randevuları olmak üzere bazı ayakta tedavi hizmetlerimizi etkiledi. Etkilenen hastalarla temasa geçtik ve temas kurmaya devam edeceğiz.
Gönderi ayrıca bir teşhis radyoloji departmanının etkilendiğini belirtiyor.
Saldırı sırasında, hiçbir fidye yazılımı grubu ağ ihlalinin sorumluluğunu üstlenmemişti. Şimdi, The Record’a göre, birkaç kaynak Recorded Future News’e bu yaygın saldırının arkasındaki fidye yazılımı grubunun Rhysida olduğunu söyledi. Kolluk kuvvetlerinin bir soruşturma sürerken bir fidye yazılımı grubu hakkında doğrudan yorum yapmaması standart bir uygulamadır.
Kaynaklardan iddia edilen iddialar göz önüne alındığında ilginç olan, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın geçen hafta hastanelere bu özel grup hakkında bir uyarı yayınlamasıdır. Belge Rhysida hakkında şunları söyledi:
Rhysida, Mayıs 2023’ten beri ortaya çıkan yeni bir hizmet olarak fidye yazılımı (RaaS) grubudur. Grup, hedeflerin ağlarını ihlal etmek ve yüklerini dağıtmak için kimlik avı saldırıları ve Cobalt Strike yoluyla adını taşıyan bir fidye yazılımı bırakır. Grup, fidye ödenmezse sızan verileri halka açık bir şekilde dağıtmakla tehdit ediyor. Gelişmiş özelliklerin olmaması ve Rhysida-0.1 program adının gösterdiği gibi, Rhysida hala geliştirmenin ilk aşamalarındadır.
Fidye yazılımı ayrıca etkilenen klasörlere PDF notları bırakarak kurbanlara portalları aracılığıyla grupla iletişime geçmeleri ve Bitcoin ile ödeme yapmaları talimatını veriyor. Kurbanları Batı Avrupa, Kuzey ve Güney Amerika ve Avustralya’daki çeşitli ülkelere dağılmıştır. Öncelikle eğitim, hükümet, imalat ve teknoloji ile yönetilen hizmet sağlayıcı sektörlerine saldırır; ancak, Sağlık ve Halk Sağlığı (HPH) sektörüne yönelik son zamanlarda saldırılar olmuştur.
HHS, fidye yazılımının nispeten yeni olduğunu belirtiyor. Bu yılın Temmuz ayında Fidye Yazılımı İncelememizde ilk kez göründüğünde şunları söyledik:
“Siber güvenlik ekibi” olduğunu iddia eden yeni bir fidye yazılımı çetesi olan Rhysida, 17 Mayıs 2023’ten beri faaliyet gösteriyor ve siber saldırılara yönelik yüksek profilli saldırılarıyla manşetlere çıkıyor. Şili Ordusu.
Çete, Haziran ayında sızıntı sitesinde tam on sekiz kurban yayınladı ve bu da onu bugüne kadarki aylık incelemelerimizde en üretken yeni gelenlerden biri haline getirdi.
Rhysia’nın nasıl yayıldığı açısından, birincil bulaşma yöntemleri arasında kimlik avı saldırıları ve Cobalt Strike veya diğer komuta ve kontrol çerçeveleri devreye girdikten sonra güvenliği ihlal edilmiş sistemlere yük bırakma yer alır. Fidye yazılımı bir kez ele geçirildiğinde, grup denenmiş ve test edilmiş çifte tehdit şantaj taktiklerini kullanır. Bir fidye notu, fidye ödenmediği takdirde çalınan verileri herkese açık bir şekilde dağıtmakla tehdit eder.
Tehdit “sadece” kilitli bilgisayarlar veya yardım edilemeyen hastalar değildir. Bahsedilen hastaların tıbbi veya diğer kişisel verilerinin herkesin görmesi için çevrimiçi olarak yayınlanması olasılığı çok yüksektir.
Bazı fidye yazılımı grupları, misilleme korkusuyla tıbbi saldırılara dokunmaz. Bir tıbbi tesisin veya sağlık hizmeti sağlayıcısının saldırıya uğradığı birçok durumda, sorumlular özür dileyecek ve ücretsiz şifre çözme araçları sağlayacaktır. Diğerleri, haydut bağlı kuruluşları suçlamanın yanı sıra hemen hemen aynı şeyi yapacak.
Bazı saldırılar çok fazla ısı çeker ve suçlular için olumsuz reklam dalgaları oluşturur. Tüm hileniz, bir fidye alırsanız PC’lerin kilidini açmak ve verileri döndürmek için (hemen hemen) size güvenilebilmesiyse, hastaneleri yıkmak başkalarını size güvenmeye teşvik etmeyecektir.
Tüm bunlar, uzun vadede haksız kazançlarda olası bir düşüşe yol açar ve fidye yazılımı yazarlarının durumun böyle olmamasını tercih edeceğine bahse girebilirsiniz.
Umarım, etkilenen tüm sağlık hizmetleri operasyonları yakında yeniden çalışır hale gelir. Potansiyel olarak etkilenen herkesin yerel hastaneleriyle iletişim halinde olmasını ve daha fazla bilgi için güncellemeler sayfasına dikkat etmesini öneririz.
Fidye yazılımından nasıl kaçınılır?
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını belirlemek için birden fazla farklı algılama tekniği ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımı geri dönüşü kullanan Malwarebytes EDR gibi Uç Nokta Tespiti ve Yanıtı yazılımını dağıtın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE