Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Rusça Konuşan Çete Tipik Taktik Kitabı İzliyor; Kritik Hizmetler Hala Kesintili
Mathew J. Schwartz (euroinfosec) •
19 Haziran 2024
Londra’daki bir patoloji hizmetleri sağlayıcısına yönelik, hastaların yaygın şekilde aksamasına neden olan fidye yazılımı saldırısı, suçluların tipik taktikleri arasında yer almaya devam ediyor.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
4 Haziran’da kripto kilitleyici kötü amaçlı yazılım, kan testleri gibi önemli hizmetler sunan Londra merkezli patoloji şirketi Synnovis’i vurdu. Synnovis’in çok sayıda sistem ve dosyaya erişememesi, şirket iyileşmeye çalışırken, güneydoğu Londra hastanelerindeki hastalar ve doktor muayenehanelerindeki hastalar için tıbbi prosedürlerin sürekli olarak iptal edilmesine ve diğer aksaklıklara yol açtı (bkz.: Londra Hastaneleri Fidye Yazılımı Saldırısından Sonra Biyolojik Yedekleme Arıyor).
Saldırıyla bağlantılı Rusça konuşan Qilin fidye yazılımı grubunun bir üyesi Salı günü Bloomberg’e kurbandan 120 saat içinde ödenecek 50 milyon dolarlık fidye talep ettiklerini söyledi. Qilin ayrıca Synnovis’in sistemlerine erişim sağlamak için sıfır gün güvenlik açığından yararlandıklarını iddia etti. Bu iddia doğrulanamadı (bkz: Synnovis ve NHS Saldırısının Arkasında Qilin RaaS Grubunun Olduğuna İnanılıyor).
Synnovis, 2009 yılında kurulmuş ve eski adıyla Viapath olarak bilinen, Guy’s ve St Thomas’ Ulusal Sağlık Hizmeti Vakfı Vakfı ve Londra’daki King’s College Hastaneleri NHS Trust ile Münih merkezli tıbbi teşhis sağlayıcısı Synlab arasında bir ortaklık olarak faaliyet gösteren bir patoloji şirketidir.
Çarşamba sabahı itibarıyla Qilin’in Tor tabanlı veri sızıntısı sitesi, şirketi kurban olarak listelemedi veya çalındığı iddia edilen herhangi bir veri örneğini içermedi.
Bilgi Güvenliği Medya Grubu’na konuşan bir sözcü, “Synnovis, bu son siber saldırının sorumluluğunu yetkisiz bir üçüncü tarafın üstlendiği yönündeki raporların farkındadır” dedi. “Üçüncü tarafın iddialarının geçerliliğinin ve etkilenebilecek verilerin niteliğinin ve kapsamının değerlendirilmesi de dahil olmak üzere olayla ilgili soruşturmamız devam ediyor.”
Siber güvenlik uzmanı Brian Honan, gaspçıların fidye talebinin “olağanüstü ve alışılmadık derecede yüksek” olduğunu, özellikle de 2021’de İrlanda Sağlık Hizmeti Yöneticisine yönelik “İrlanda’nın sağlık hizmetinin tüm BT altyapısını çökerten” saldırıyla karşılaştırıldığında, “olağanüstü ve alışılmadık derecede yüksek” olduğunu söyledi. 21 milyon dolarlık fidye talebi.
Dublin merkezli BH Consulting’in CEO’su Honan, “Normalde fidye yazılımı talepleri, suçluların kurban organizasyonun ödeyebileceğini bildiği düzeydedir” dedi. “50 milyon dolarlık bu talep, suçluların gelecekteki kurbanlar arasında kötü şöhretlerini artırmak için yaptıkları bir tanıtım gösterisi olabilir çünkü bu yüksek haraç ücretini talep ederek, özellikle ana akım medya kuruluşlarında medyanın büyük ilgisini çekeceklerini biliyorlar.”
Şirket ödeme yapmamış gibi göründüğünden (uzmanlar mağdurlara mümkün olan her durumda asla yapmamalarını tavsiye ettiğinden) saldırganlar bundan sonra tipik olarak yaptıkları şeyi yapmaya başladılar: kurbanın adını kamuoyuna duyurmak ve utandırmak, saldırı sırasında çaldıklarını iddia ettikleri verileri sızdırmakla tehdit etmek ve markalarını tanıtın (bkz.: Fidye Yazılımı Grupları: Bize Güvenin. Yapma.).
Restorasyon Devam Ediyor
Synnovis Pazartesi günü yaptığı açıklamada, ulusal olay müdahale kurumu olan Britanya Ulusal Siber Güvenlik Merkezi ve NHS İngiltere Siber Operasyon Ekibi ile yakın işbirliği içinde çalışarak sistemleri geri yüklemeye devam ettiğini söyledi.
Synnovis CEO’su Mark Dollar Pazartesi günü yaptığı açıklamada, “Hizmetlerin restorasyonuna ilişkin planımız kapsamlı ve iyi bir şekilde devam ediyor; harici uzmanlar tarafından yürütülen adli soruşturmaya paralel olarak ilerliyor.” dedi. “Mevcut her kaynak bu plana odaklanmıştır.”
Şirket, restorasyon planının “hem klinik kritikliğe hem de hizmetlerin güvenli ve emniyetli bir şekilde restorasyonuna öncelik verdiğini” ve “analitik platform tedarikçilerimizle işbirliği içinde analizörlerimizi zaten tekrar çevrimiçi hale getirdiğimizi ve bunun da sürecin bu aşamasında önemli bir ilerleme olduğunu” söyledi. Kurtarma işlemi.”
Buna rağmen, saldırıdan iki hafta sonra Synnovis, örnekleri işleme yeteneğinin “önemli ölçüde azaldığını” ve pratisyen hekimlere, acil olmayan kan testlerini geçici bir çözüm olarak diğer laboratuvarlara göndermelerini söylediğini, böylece daha iyi odaklanabileceklerini söyledi. acil olanları alır.
Şirket aynı zamanda İngiltere’nin veri koruma düzenleyicisi olan Bilgi Komiserliği Ofisi ile de yakın temas halinde olduğunu ve herhangi bir veri ihlalinin boyutunun henüz bilinmediğini söyledi. “Daha fazla bilgi elde edildiğinde, Bilgi Komiserliği Ofisi’nin gereklilikleri doğrultusunda rapor vereceğiz ve gerektiğinde etkilenen bireylerin veya ortakların bildirimine öncelik vereceğiz” dedi.
NHS İngiltere Londra, saldırıdan en çok etkilenen iki vakfın (King’s College Hastanesi NHS Foundation Trust ile Guy’s ve St Thomas’ NHS Foundation Trust) yalnızca olayın ardından ilk haftada 800’den fazla planlı ameliyatı ve 700 ayakta tedavi randevusunu ertelediğini söyledi. Açıklamada, “Planlanan faaliyetlerin büyük çoğunluğu ilerlemeye devam etti ve bazı uzmanlıklar diğerlerinden daha fazla etkilendi” denildi.
BH Consulting’den Honan, tüm kuruluşlar için iş esnekliği açısından çıkarılacak çıkarımlardan birinin, benzer şekilde yıkıcı bir olay durumunda nasıl davranabileceklerini test etme ve buna göre hazırlanma ihtiyacı olması gerektiğini söyledi. “Synnovis saldırısı aynı zamanda dayanıklılık planlamamızın doğrudan kontrolümüz altındaki sistemlerin ötesine geçmesi gerektiğini ve tedarik zincirlerimize bakmamız ve önemli bir tedarikçinin etkilenmesi durumunda kuruluşlarımızın hizmet sağlamaya nasıl devam edebileceğini belirlememiz gerektiğini de vurguluyor.” bir siber saldırı veya başka bir büyük kesinti nedeniyle” dedi.
Qilin nedir?
Qilin, bir hizmet olarak fidye yazılımı grubu olarak çalışıyor gibi görünüyor; bu, operatörlerinin bağlı kuruluşlara kripto kilitleyen kötü amaçlı yazılım sağladığı, özel bir veri sızıntısı sitesi işlettiği ve muhtemelen kurbanlarla müzakereleri de yürüttüğü anlamına geliyor. Siber güvenlik firması Group-IB, grubun geçen yıl 3 milyon dolar veya daha az değere sahip her fidyenin yüzde 80’ini, daha fazla değere sahip fidyelerin ise yüzde 85’ini bağlı kuruluşların elinde tuttuğunu iddia etti.
Qilin de dahil olmak üzere pek çok grup, mağdurlar üzerinde ödeme yapmaları için baskı oluşturmak amacıyla veri sızıntısı blogunu kullanıyor. Kurbanlar ödeme yapmadığında çalınan verileri sızdırarak veya en azından iddia ederek, bunu gelecekteki mağdurlara ödeme yapma konusunda baskı yapmak için bir örnek olarak kullanmaya çalışıyorlar.
Sağlık sektörü, fidye yazılımı kullanan bilgisayar korsanları için tekrarlanan ve genellikle başarılı bir hedef olmaya devam ediyor. Synnovis’e saldıranların onlardan 50 milyon dolar ödemeyi mi, yoksa en azından bunu müzakereler için bir başlangıç noktası olarak mı kullanmayı veya muhtemelen İngiliz hükümetinden yardım almayı bekleyip beklemedikleri açık değil.
NCSC’nin eski CEO’su Ciaran Martin, saldırının ardından bu ayın başlarında BBC’ye yaptığı açıklamada, İngiliz hükümetinin fidye ödemeye karşı bir politikası olduğunu söyledi.
Hedefleri Tekrarla
Nisan ayında Synlab’ın İtalyan yan kuruluşu, Black Basta fidye yazılımını içeren bir fidye yazılımı saldırısının kurbanı oldu. Fidye ödemeyi reddettiği ve kısa bir süre sonra tüm operasyonları yeniden başlattığını ve kademeli olarak tam hizmetlere devam ettiğini söylediği bildirildi. Black Basta daha sonra veri sızıntısı sitesinde 1,5 terabaytlık çalıntı veriyi sızdırdı ve sızıntının şirket verilerini, çalışan bilgilerini ve sürücü belgesi fotoğrafları, müşteri verilerinin yanı sıra “spermogramlar, toksikoloji, anatomi” verilerini içeren tıbbi analizleri içeren kişisel belgeleri içerdiğini söyledi. ve görüntüleme.
Synlab’a bağlı şirketlere karşı her iki saldırıyı da aynı bağlı kuruluş grubunun ilkinde Black Basta fidye yazılımını, ikincisinde ise Qilin’i kullanarak gerçekleştirip gerçekleştirmediği belirsizliğini koruyor. Siber güvenlik uzmanları, fidye yazılımı bağlı kuruluşlarının bazen aynı anda birden fazla grupla çalıştığını ve kısmen hedefledikleri ortama bağlı olarak herhangi bir kurbana karşı hangi fidye yazılımı türünü kullanacaklarını seçebileceklerini söylüyor.
Siber güvenlik firması Secureworks, Qilin fidye yazılımını içeren saldırıların bu yılın başından bu yana arttığını söyledi. Qilin, 2022’nin ortalarında çıkış yapmış gibi görünse de, “grubun, 2024’ün başlarında hem Alphv/BlackCat hem de LockBit fidye yazılımı planlarının neden olduğu kolluk kuvvetleri kesintisinden yararlanması muhtemeldir ve bu durum, bağlı şirketlerinin faaliyetlerini sürdürmek için başka programlara geçmesine neden olmuştur. Suça yönelik çabalar.”