Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
İş Dayanıklılığı Planlaması ve Yük Devretme Yetenekleri ile İş Modeline Karşı Mücadele Edin
Mathew J. Schwartz (euroinfosec) •
21 Haziran 2024
Fidye yazılımlarının normalleşmesine asla izin vermeyin. Britanya Ulusal Sağlık Hizmeti, bir başka fidye yazılımı saldırısının ardından çalınan verilerin sızdırıldığı iddiasıyla karşı karşıya kalırken, bu zorunluluk hiç bu kadar önemli olmamıştı.
Ayrıca bakınız: Proaktif Kimlik Yönetimi ile Küresel Güvenlik Düzenlemelerinde Gezinme
NHS’ye yapılan son saldırı, günümüzde işletmelerin fidye yazılımına maruz kalma ihtimalinin daha yüksek olduğunu hatırlatıyor. Ancak bu, fidye yazılımlarının ölüm veya vergi gibi yeni bir normal gibi görünmesine asla izin vermeyeceğimiz anlamına gelmiyor (bkz: Qilin Fidye Yazılımı Grubu NHS Verilerini Sızdırdı).
Fidye yazılımı gruplarının başlattığı acımasız saldırılar, uyuşmamayı zorlaştırabilir. Ağırlıklı olarak Rusça konuşan gasp grupları topluca, toplumun zararına yıllık 1 milyar doların üzerinde maaş alıyor. Hastanelerden, ulusal sağlık sistemlerinden ve kritik hizmetler sunan diğer kurumlardan haraç aldılar; üstelik insan refahı açısından gerçek sonuçlar doğuran büyük aksaklıklara neden oldular (bkz.: NHS Fidye Yazılımı Hack’i: 1.500 Tıbbi Randevu Yeniden Planlandı).
İngiltere’deki Surrey Üniversitesi’nden bilgisayar bilimi profesörü Alan Woodward, “Bunu yapan insanlar suçludur, bu yüzden bunu gerçekten umursamazlar” dedi. “Bunlar uyuşturucu, fuhuş, insan kaçakçılığı vb. yapan türde insanlardı, dolayısıyla insanlığın sefaletinin onlar için hiçbir anlamı yok.”
Woodward bana, fidye yazılımına geçmelerinin bir nedeninin “bundan çok daha fazla para kazanabilmeleri ve yakalanma riskinin daha düşük olması” olduğunu söyledi. “Onlar ahlaksız ama ahlaksız iş adamları.”
Bu, saldırganların masum insanlara zarar verirken nasıl kendi başlarına yaşadıkları sorusunu açıklamaya yardımcı oluyor.
BBC geçtiğimiz günlerde bu soruyu, Londra’daki patoloji hizmetleri sağlayıcısı Synnovis de dahil olmak üzere bu yıl çok sayıda kurban toplayan Qilin fidye yazılımı grubunun bir üyesine yöneltti.
Grubun temsilcisi “Bu röportaj bitti” diye yanıt vererek tüm iletişimi kesti.
Qilin, tipik fidye yazılımı saldırganlarının taktiklerini takip etmeye devam etti; ilk olarak ödeme yapmayan bir kurbanın adını ödemesi için “adlandırmaya ve utandırmaya” çalıştı, ardından ödeme yapmadığında çalınan verileri sızdırdığını iddia etti.
Saldırının sonucunda NHS, İngiltere genelindeki hanelere gönderilen mektuplar da dahil olmak üzere, O tipi kan bağışı için acil bir çağrı yayınladı. Bunun nedeni, Synnovis kesintisi devam ettikçe kan gruplarını çapraz eşleştirmek için gereken sistemlerin kullanılamamasıdır (bkz.: Londra Hastaneleri Fidye Yazılımı Saldırısından Sonra Biyolojik Yedekleme Arıyor).
Şu ana kadar Synnovis saldırısı, planlanan sezaryen doğumlarını ve organ nakillerini yeniden planlama ihtiyacı da dahil olmak üzere 1.000’den fazla ameliyatın ve randevunun iptal edilmesine yol açtı. Doktorlara ve hastanelere, cinsel sağlık testleri de dahil olmak üzere kritik olmayan kan testlerini alternatif sağlayıcılara yönlendirmeleri söylendi. Bir doktor BBC’ye, daha önce bir saat içinde alınan kritik kan testi sonuçlarının artık altı saat sürdüğünü söyledi.
Kurtarma Kaygıları
Uzmanlar, Synnovis’in saldırıdan tamamen kurtulmasının aylar sürebileceğini söylüyor. Kendisini hükümet tarafından finanse edilen Guy’s ve St Thomas’ NHS Foundation Trust ve King’s College Hastaneleri NHS Trust ile Münih merkezli özel teşhis devi Synlab arasında bir “patoloji ortaklığı” olarak tanımlayan şirket, sistemlerinin fişini çekmiş gibi görünüyordu. fidye yazılımını tespit ettiği anda. Bu kadar hızlı düşünmek, saldırganların Synnovis’e güvenen hastanelerdeki sistemleri ihlal etmesini engellemiş olabilir.
Öyle olsa bile, devam eden kesintiler ve restorasyon için uzun zaman çizelgesi, muhtemelen maliyet tasarrufu amacıyla yapılan patoloji hizmetlerini merkezileştirmenin bilgeliği hakkında soru işaretleri yaratıyor. Guardian, tröstlerin Synnovis ile “NHS’nin düzgün işleyişi için hayati önem taşıyan hizmetler için” sözleşmesinin 1,4 milyar dolar değerinde olduğunu bildirdi.
Bu fiyatlarda, Synnovis neden özellikle doğal afet veya başka bir aksaklık durumunda temel patoloji hizmetlerini sağlamaya devam edebilmek için Synlab ile ortaklaşa tesis dışında yük devretme yeteneklerine sahip olmadı? Synnovis yorum talebime yanıt vermedi.
Şirket, fidye yazılımını başarılı bir şekilde dağıtan veya kurbanın ortamından veri çalan saldırganların artık öngörülebilir bir dizi hamlesine maruz kalan uzun bir kurban grubunun en sonuncusu. Uzmanlar, bu tür kurbanların yaklaşık yüzde 25’inin genellikle fidye ödediğini söylüyor; bu da saldırganların en çok arzu ettiği sonuç; özellikle de bu tür saldırıların çoğu zaman ortaya çıkmaması nedeniyle, bu da güvenlik savunucularının takip etmesini ve kolluk kuvvetlerinin müdahale etmesini zorlaştırıyor.
Saldırılar gün ışığına çıktığında bunun nedeni genellikle kurbanın fidye ödememesidir. Bu noktada, saldırganlar genellikle olayı tanıtım amacıyla, özellikle de gelecekteki mağdurlara ödeme yapmaları için baskı yapmaya çalışırlar.
Fidye yazılımı grupları psikolojik manipülasyon ve markalama konusunda uzman olmaya devam ediyor. Qilin, bir bağlı kuruluşun şirketi başarıyla hacklemesinin ardından Synnovis’ten 50 milyon dolar fidye talep ettiğini iddia etti. ABD’de çok sayıda özel sağlık firmasının fidye ödediği göz önüne alındığında, saldırganların cazip bir hedef görmüş olması muhtemel.
Synnovis’in de dahil olduğu, Britanya’nın hükümet tarafından finanse edilen ve her yıl kaynak sıkıntısı çeken Ulusal Sağlık Hizmetini tanıyan herkes, muhtemelen fidye talebinin gülünç olduğunu düşünüyor. Dublin merkezli birimin başkanı Brian Honan, “Suçlular, Synnovis’in herhangi bir gasp talebini ödemeyeceğine inanabilir ve bu 50 milyon dolarlık talep, suçluların gelecekteki kurbanlar arasında kötü şöhretlerini artırmak için yaptığı bir tanıtım gösterisi olabilir” dedi. siber güvenlik danışmanlığı BH Consulting.
Hazırlık Ödemesi
Fidye yazılımlarının normalleşmesine asla izin vermemek için CISO’ların (CISO’ların, üst düzey yöneticilerinin ve yönetim kurullarının) kuruluşlarının yalnızca saldırılara değil aynı zamanda kurumsal BT ortamlarını yörüngeden çıkarmaya ve gerekirse yeniden başlamaya da hazır olmalarını sağlamaları gerekiyor.
Synnovis durumunda bu, halihazırda işlenmiş test örneklerinden elde edilen verileri kaybetmeye hazırlıklı olmak anlamına gelebilir; bu, zaten gerçekleşmiş olabilecek bir şeydir. Bu büyüklükte bir olayın tetiklenmesi ve hizmetlerin hızlı bir şekilde yeniden sağlanması, ödün verilmesini gerektirebilir.
Woodward, “Buna hazır olmanız ve direnmeniz gerekiyor ve bu sadece onu püskürtmek anlamına gelmiyor çünkü bunu birden fazla kez yapacaklar” dedi. “BT olmadan çalışmaya hazır olmalısınız ve her şeyi yerle bir edip yeniden başlarsanız ne yapacağınızı bilmelisiniz.”