Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Fed, Sağlık Hizmeti Hack’lerinin Medicare, CVS Caremark ve MetLife’ı Etkilemesi Konusunda Uyarı Verdi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
28 Şubat 2024
ABD yetkilileri bir yılı aşkın süredir BlackCat hizmet olarak fidye yazılımı grubunu kapatmaya çalışıyor. Alphv olarak da bilinen nispeten genç grup, Mart 2023’te manşetlere çıkarak kötü bir üne kavuştu. Pennsylvania’daki bir grup kanser kliniğine yönelik gasp girişiminde bulunan meme kanseri hastalarının çalıntı fotoğrafları sızdırıldı.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
FBI, kendisini bir bağlı kuruluş olarak tanıtarak fidye yazılımı grubunun operasyonuna sızdı ve 500’den fazla BlackCat kurbanının sistemlerinin şifresini çözebilecek bir araç geliştirdi. Ardından Aralık ayında ajanlar grubun veri sızıntısı sitesine ve Tox eşler arası anlık mesajlaşma hesabına el koydu; ancak sızıntı sitesi bir hafta içinde tekrar BlackCat’in kontrolüne geçti (bkz.: FBI, BlackCat Altyapısını Ele Geçirdi, Gruba Yeni Etki Alanı Geldi).
Federal yetkililer, kaldırma girişimine misilleme olarak BlackCat yöneticisinin “bağlı kuruluşlarını hastaneleri hedef almaya teşvik eden” bir not yayınladığını söyledi.
Çarşamba günü, Rusça konuşan grup talep edildi Dark web sitesinde bu yılın şu ana kadarki en büyük sağlık hizmeti hackinin arkasında olduğunu açıkladı; Tricare, Medicare, CVS Caremark, MetLife, Loomis, Davis Vision da dahil olmak üzere “tüm” Change Healthcare müşterilerine ilişkin 6 terabaytlık “son derece seçici veriler” sızdırıyor , Health Net, Teachers Health Trusts “ve onlarca sigorta ve diğer şirketler.” (Görmek: Sağlık Hizmeti Kesintisi Dünya Çapındaki Askeri Eczaneleri Etkiliyor).
CISA, FBI ve ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın Salı günü yaptığı ortak uyarıda Sağlık Hizmeti Değişimi olayından bahsedilmiyor ancak Alphv/BlackCat bağlı kuruluşlarının Aralık 2023’ün ortasından bu yana sızdırılan yaklaşık 70 kurban ve sağlık hizmetleriyle ilgili bildirimler yayınladığı belirtiliyor. En çok mağdur olan sektör oldu.
Optum’un bir birimi olan BT hizmetleri şirketi Change Healthcare’e yapılan siber saldırı, geçen haftadan bu yana BlackCat sızıntı sitesinde listelenen şirketler de dahil olmak üzere şirketin sağlık sektöründeki çok sayıda müşterisini aksatıyor (bkz.: Sağlık Hizmetindeki Kesinti Değişimi Ülke Çapındaki Firmaları Rahatsız Ediyor).
CVS sözcüsü Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada şirketin BlackCat iddialarını gördüğünü ancak şu anda Change Healthcare’in CVS Caremark bilgileri de dahil olmak üzere elinde bulundurduğu herhangi bir CVS Health üyesi veya hasta bilgisinin etkilenip etkilenmediğini doğrulamadığını söyledi. bu olayla.
“Change Healthcare’in ağ kesintisi, belirli CVS Health iş operasyonlarını etkiliyor ve hizmet kesintilerini en aza indirmek için iş sürekliliği planlarımız yürürlükte kalıyor.”
BlackCat tarafından listelenen diğer müşteriler, ISMG’nin BlackCat’in iddialarına ilişkin yorum taleplerine hemen yanıt vermedi.
Şu ana Kadar Haftalık Kesinti
UnitedHealth Group’un bir birimi olan Optum, Change Healthcare’e yönelik 21 Şubat saldırısına bir haftadan uzun süredir yanıt veriyor ve şirketin bir durum güncellemesi yayınladığı Çarşamba sabahı itibariyle 116 yazılım bileşeni hala çevrimdışı durumda (bkz: Gruplar Sağlık Sektörünü Değişim Konusunda Uyardı Sağlık Hizmetlerinde Siber Serpinti).
Geçen hafta UnitedHealth Group, ABD Menkul Kıymetler ve Borsa Komisyonu’na sunduğu bir dosyada, olayın bazı Change Healthcare BT sistemlerine erişim sağlayan “ulus devletle ilişkili olduğundan şüphelenilen bir siber güvenlik tehdit aktörü” ile ilgili olduğunu söyledi.
Sağlık hizmetleri gelir döngüsü yönetiminden eczane avantajları ve talep yönetimi uygulamalarına kadar geniş bir yelpazeyi kapsayan Change Healthcare BT ürünleri, yılda 15 milyar sağlık hizmeti işlemini gerçekleştirmek için kullanılıyor ve şirketin klinik bağlantı çözümleri ABD’deki 3 hasta kaydından 1’ine “dokunuyor”. Change Healthcare’in web sitesine göre.
Optum, ISMG’nin Change Healthcare olayıyla ilgili ek ayrıntı taleplerine hemen yanıt vermedi.
BlackCat, sitesinde yayınlanan önceki iddialarda sağlık hizmeti sağlayıcılarını hedef almadığını öne sürmüştü ancak bağlı kuruluşların sigorta şirketlerini, ilaç şirketlerini ve diğer ilgili satıcıları takip ettiği biliniyor.
Acentelerin Uyarıları
ABD hükümet kurumlarının bu haftaki ortak tavsiyesinde, bağlı kuruluşların sağlayıcıları hedeflemeye teşvik edildiği ve tehdit aktörlerinin “ilk uzlaşmayı bildirmek için kurbanlara özel e-postalar oluşturarak doğaçlama iletişim yöntemleri kullandıkları” belirtildi.
FBI, CISA ve HHS, kritik altyapı kuruluşlarını, Alphv BlackCat fidye yazılımı ve veri hırsızlığı olaylarının olasılığını ve etkisini azaltmak için önerilen hafifletme önlemlerinin bir listesini uygulamaya teşvik eder.
Acil olarak önerilen azaltma eylemleri arasında, yetkili ve yetkisiz cihaz ve yazılımları tanımlamak için varlıkların ve verilerin envanterinin çıkarılması, bilinen istismar edilen güvenlik açıklarının iyileştirilmesine öncelik verilmesi, güçlü parolalarla çok faktörlü kimlik doğrulamanın etkinleştirilmesi ve uygulanması ve kullanılmayan bağlantı noktalarının kapatılması ve günlük olarak gerekli görülmeyen uygulamaların kaldırılması yer alır. -günlük operasyonlar.
Önerilen diğer hafifletme önlemleri arasında uzaktan erişim araçlarının güvenliğinin sağlanması, uzaktan erişim programlarının izin verilenler listesine eklenmesi gibi yazılımların yönetilmesi ve yürütülmesi için uygulama kontrollerinin uygulanması ve kimlik avı, push bombalaması veya SIM değişimi riskini azaltmak için FIDO/WebAuthn kimlik doğrulamasının veya genel anahtar altyapısı tabanlı çok faktörlü kimlik doğrulamanın uygulanması yer alır. Danışmanlık, saldırıların “ALPHV BlackCat bağlı kuruluşları tarafından kullanıldığı bilinen teknikler” olduğunu söyledi.
Uyarı aynı zamanda kuruluşlara, anormal faaliyetleri ve olası fidye yazılım geçişlerini tanımlamak, tespit etmek ve araştırmak için ağ izleme araçlarını kullanmalarını tavsiye ediyor; kullanıcıları düzenli olarak sosyal mühendislik ve kimlik avı saldırılarını tanımlama konusunda eğitin; şüpheli etkinliği belirlemek için dahili posta ve mesajlaşma trafiğini izleyin; antivirüs yazılımı yükleyin ve bakımını yapın; ve siber tehdit aktörlerinin, kimlik bilgilerini çalmak üzere kullanıcıları kötü amaçlı web sitelerine yönlendirmelerini önlemek için “ücretsiz” güvenlik araçları uygulayın.
Uyarıda, Şubat 2023’te Alphv/BlackCat’in, bağlı kuruluşlara gelişmiş savunmadan kaçınma ve ek araçlar gibi ek özellikler sağlamak üzere yeniden yazılan ALPHV BlackCat Ransomware 2.0 Sphynx güncellemesini duyurduğu belirtiliyor. Uyarıda, “Bu ALPHV BlackCat güncellemesi, hem Windows hem de Linux cihazlarını ve VMware örneklerini şifreleme yeteneğine sahip. ALPHV BlackCat bağlı kuruluşları, fidye yazılımı ve veri gaspı operasyonlarında kapsamlı ağlara ve deneyime sahip” dedi.
Uyarıda, Alphv/BlackCat bağlı kuruluşlarının ilk erişim elde etmek için bir şirket üzerinde gelişmiş sosyal mühendislik tekniklerini ve açık kaynak araştırmalarını kullandığı belirtiliyor. Buna, hedef ağa erişmek için çalışanlardan kimlik bilgileri alan BT veya yardım masası personeli gibi davranan tehdit aktörleri de dahildir.
“Bazı ALPHV BlackCat bağlı kuruluşları erişim sağladıktan sonra veri sızdırıyor ve fidye yazılımı kullanmadan mağdurlardan şantaj yapıyor. Verileri sızdırdıktan ve/veya şifreledikten sonra ALPHV BlackCat bağlı kuruluşları kurbanlarla TOR aracılığıyla iletişim kuruyor [S0183], Tox, e-posta veya şifreli uygulamalar. Tehdit aktörleri daha sonra kurban verilerini kurbanın sisteminden siler” diyor.
Tavsiye belgesinde yer alan uzun IoC listesi arasında bir ağ IOC’si de bulunmaktadır – “Domain Fisa99.screenconnect[.]com ScreenConnect Uzaktan Erişim” – ConnectWise ScreenConnect uzaktan erişim aracını içerir.
Güvenlik araştırmacıları son günlerde Change Healthcare saldırısının ScreenConnect güvenlik açıklarından yararlanılmasını içerdiğini öne sürdü. Ancak ConnectWise, saldırı ile ScreenConnect kusurlarından yararlanılması arasında kesin bir bağlantı bulamadığını savunuyor.
BlackCat da iddiaları reddetti. Çete, Change Healthcare saldırısı hakkında dark web gönderisinde PS olarak “İlk erişimimiz olarak ConnectWise’ı kullanmadık” diye yazdı.
ConnectWise Bağlantısı, Bağlantı Kesildi mi?
ConnectWise, 19 Şubat’ta açıklanan ScreenConnect güvenlik açığı ile Change Healthcare’deki olay arasında doğrulanmış herhangi bir bağlantıdan haberi olmadığını ileri sürdü.
ConnectWise Salı gecesi yaptığı açıklamada, “Dahili incelemelerimiz, Change Healthcare’i henüz bir ScreenConnect müşterisi olarak tanımlamadı ve yönetilen hizmet sağlayıcılardan oluşan kapsamlı ağımızın hiçbiri, Change Healthcare ile ilişkileri hakkında herhangi bir bilgi ortaya koymadı” dedi.
ConnectWise, “Tipik örnekler olarak, siber saldırılar; güvenlik açıkları, kimlik avı ve iş e-postasının ele geçirilmesi de dahil olmak üzere çok sayıda yoldan gerçekleşebilir. Genellikle BT hizmet sunumu ve ürün desteği için kullanılsa da, saldırganlar uzaktan kontrol araçlarını kötü niyetli faaliyetleri kolaylaştırmak için kötüye kullanabilirler” dedi.
Change Healthcare olayının ScreenConnect istismarını içerdiğine dair göstergeler bulan tehdit istihbarat firması RedSense’in kurucu ortağı ve baş araştırma görevlisi Yelisey Bohuslavskiy, Çarşamba günü ISMG’ye çeşitli saldırı vektörlerinin ve hatta muhtemelen birkaç başlangıç erişim vektörünün kullanımının “önemli olmadığını” söyledi. yalnızca bu durumda mümkün ama büyük olasılıkla tek seçenek bu.”
“Hem ulus devlet grupları hem de fidye yazılımı söz konusu olduğunda, ilk erişim için CVE’yi kullanan aktör, aynı zamanda her zaman daha geleneksel bir yöntem kullanacaktır,” dedi. “CVE’lerin fidye yazılımıyla silahlandırılmasına ilişkin birkaç örnek; Log4J ile Conti en çok açıklayıcı olanı – her zaman üç vektör vardı – CVE’nin kendisi, önceden açıklanmış kimlik bilgilerinin kullanımı ve geleneksel öncü dağıtım – Qbot gibi bir botnet’in CS’yi bırakması örnek olarak” dedi.
“Yamalama hala kritik.”
Kritik Önlemler
Claude Mandy, Change Healthcare saldırıları gibi veri güvenliği olayları meydana geldiğinde, ilgili tarafların, satıcıların ve kuruluşların ihlal sonucu açığa çıkıp çıkmadıklarını ve daha fazla eylem gerektiren herhangi bir göstergenin olup olmadığını değerlendirmek için hızlı bir şekilde tepki vermeleri gerektiğini söyledi. , güvenlik firması Symmetry Systems’de veri güvenliğinin baş müjdecisi.
“Sağlık sektöründeki kuruluşlar, sağlık hizmetlerinin sürekli hedeflenmesinin bir sonucu olarak yüksek düzeyde alarma geçecek, ancak etkilenen taraflarla bağlantısı olan kuruluşların her türlü faaliyeti proaktif bir şekilde soruşturması ve potansiyel olarak tehlikeye atılmış kimlik bilgilerini rotasyona tabi tutması gerekiyor” dedi.
Güvenlik firması Viakoo’nun CEO’su Bud Broomhead, sağlık sektöründeki birçok saldırıyı birbirine bağlayan ortak noktanın, bu kuruluşların tehdit aktörleri tarafından diğer sektörlere kıyasla “kolay seçilecek” olarak algılanması olduğunu söyledi. Bunun kısmen sağlık sektörünün IoT cihazlarını ve uygulamalarını yoğun şekilde kullanması, birçok ziyaretçi ve yüklenicinin bulunduğu son derece karmaşık ortamı ve tarihsel olarak zayıflamış olan BT kaynakları nedeniyle olduğunu söyledi.
“Sağlık kuruluşlarıyla iş yapan kuruluşlar için temel ders, satıcı ve tedarik zinciri yönetimiyle ilgili en iyi uygulamaları takip etmektir: Birlikte çalıştığınız kuruluşun güvenlik duruşunu anlamak için siber denetimler ve anketler gerçekleştirin, zamanında bir iletişim politikasına sahip olduklarından emin olun. İhlal durumunda, satıcı seçiminde güvenlik puanlarına öncelik verin” dedi.