Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri
Ambargo Grubu, İlaç İşbirliği’nin Yaklaşık 1,5 TB Verisini Sızdırmakla Tehdit Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
18 Kasım 2024
Fidye yazılımı grubu Embargo, 2.000 bağımsız eczanenin işbirlikçisi olan American Associated Pharmacies’e yapılan saldırıda çalındığı iddia edilen yaklaşık 1,5 terabayt veriyi yayınlamakla tehdit ediyor. Çete, üzerinde anlaşmaya varıldığı iddia edilen fidye anlaşmasının ikinci taksiti için AAP’yi çökertiyor.
Ayrıca bakınız: Yeni Siber Güvenlik Raporlama Gereksinimlerine Hazırlık
Karanlık web sitesindeki siber suçlu çetesi, AAP’nin şifre çözücü anahtarı için zaten 1,3 milyon dolar fidye ödediğini iddia ediyor; ancak derneğin çalınan verileri silmeye yönelik Ambargo vaadi karşılığında ödemeyi kabul ettiği 1,3 milyon dolar daha borcu var.
Pazartesi günü Embargo’nun karanlık web sitesindeki geri sayım, fidye ödenmediği takdirde Scottsboro, Ala. merkezli eczane grubunun verilerinin hafta ortasına kadar açıklanacağı tehdidini taşıyor.
Embargo Pazartesi günü dark web blogunda şunları söyledi: “AAP, verilerini umursamıyor gibi görünüyor. AAP, şifreyi çözmek için 1,3 milyon ödedi ve 1,469 TB verisi için de 1,3 milyon borçlu oldu.”
“Açıkçası AAP yalnızca umurunda[s] Kendi sistemleri hakkında. Müşterilerin gizli bilgileri umurlarında değil. Anlaşmalarımıza her zaman saygı gösteririz. AAP’nin ek 1,3 milyonu ödemek üzere bizimle anlaşması var. Bu anlaşmayı yerine getirmiyorlar, bu yüzden söz verdiğimiz gibi verilerini açıklayacağız” diye yazdı Ambargo.
Güvenlik olayında AAP’yi temsil eden bir avukat, Bilgi Güvenliği Medya Grubu’nun yorum ve ek bilgi talebine hemen yanıt vermedi.
AAP web sitesinde, iki büyük eczane kooperatifinin (United Drugs of Phoenix, Arizona ve Associated Pharmacies of Scottsboro, Alabama) 2009 yılında şu anda ABD’deki en büyük bağımsız eczane organizasyonlarından birini oluşturmak üzere birleşmesiyle kurulduğu belirtildi.
AAP, web sitesinde bir siber saldırıdan bahsetmese de üyeleri için “önemli bir bildirim” yayınladı.
Bir farmasötik envanter sistemi olan “API Warehouse için sınırlı sipariş yetenekleri APIRx.com’da geri yüklendi”. Bildirim AAP üyelerine şunu söylüyor: “APIRx.com ve RxAAP.com ile ilişkili tüm kullanıcı şifreleri sıfırlandı, dolayısıyla mevcut kimlik bilgileri artık sitelere erişim için geçerli olmayacak. Lütfen oturum açma ekranında ‘şifremi unuttum’ seçeneğini tıklayın ve aşağıdaki adımları izleyin” şifrenizi sıfırlamanız için gerekli istemler.”
Yakın zamanda Critical Insight’ı satın alan ve Hamilton’un kurucusu ve CISO’su olduğu güvenlik firması Lumifi Cyber’in saha CISO’su Mike Hamilton, Ambargo gibi bir fidye yazılımı grubunun çifte şantaj yapmasının şaşırtıcı olmadığını söyledi.
Ancak Ambargo’nun agresif bir şekilde ve kamuoyuna açık bir şekilde AAP’den gelecek ikinci ödemeyi geri almaya çalışması, “karanlık piyasalarda satışta çok fazla plak bulunduğunu ve bu da eğer satılabilirlerse değer kaybıyla sonuçlanacağını gösteriyor” dedi.
“Eyalet kanunlarında yer alan özel dava hakkının yerini alan bir federal gizlilik kanunu çıkana kadar, bu kayıtların ifşa edilmesi toplu davalara yol açmaya devam edecek ve bu, bu aktörlerin kurbanlarını bunun bedelini ödemeye teşvik etmek için kullandıkları bir koz. Kayıtların imhası” dedi.
Diğer Saldırılar
American Associated Pharmacies, Ambargo’nun geri sayım saatiyle karşı karşıya kalan en az iki sağlık grubundan biri. Geçtiğimiz Pazartesi, 11 Kasım, Embargo ayrıca Georgia merkezli Memorial Hastanesi ve Manor’dan, 80 yataklı bir devlet hastanesi, 107 yataklı uzun süreli bakım tesisi ve ilgili 22- yataklı kişisel bakım tesisi (bkz: Ambargo Fidye Yazılımı Çetesi Hastane Verilerini Sızdırmak İçin Son Tarihi Belirledi).
Embargo’nun geri sayım saati ilk olarak 12 Kasım Salı günü MHM’nin verilerini sızdırmakla tehdit ediyordu. Bu Pazartesi itibarıyla Embargo’nun MHM için geri sayım saati 19 Kasım Salı gününe sıfırlandı.
MHM, ISMG’nin Ambargo’nun iddialarına ilişkin yorum talebine hemen yanıt vermedi (bkz: Saldırı Küçük Kırsal Georgia Hastanesi ve Huzurevini Vurdu).
Hamilton, Ambargo’nun MHM’nin fidyeyi ödemesi için uzatılmış süre sınırının, kurbanın “ödemenin artıları ve eksileri ile ortaya çıkacak davayı tartıştığını ve uygun bir fiyat noktası belirlediğini” gösterebileceğini söyledi. “Ayrıca, sigorta şirketlerinin de işin içinde olması muhtemeldir ve bu şirketler de muhtemelen müzakere masasındadır.”
Hamilton, “Ambargonun uluslararası ve çok sektörlü mağdurları var gibi görünüyor ve belirli bir mağdur profiline odaklanmıyor. Fırsatçı görünüyorlar” dedi.
Embargo’nun karanlık web sitesinde listelenen çeşitli kurbanlar arasında ABD, Avustralya ve Avrupa’da çeşitli sektörlerdeki kuruluşlar yer alıyor. Buna Güney Carolina’daki Summerville Polis Departmanı, bir Michigan eyalet hükümeti, bir Alman tedarik zinciri hizmetleri şirketi ve Avustralya’da borç vermeyen bir banka da dahildir.
“Ancak, sağlık hizmetlerinde birden fazla mağdurları olduğundan ve tespitleri devre dışı bırakacak araçları çok karmaşık olduğundan, bunların göz ardı edilmemesi gerekir” dedi. “Eğer gerçekten bağlı kuruluşlar aracılığıyla faaliyet gösteriyorlarsa, başkalarının da onların altyapılarını ve araçlarını kullanmasını bekleyebiliriz ve Ambargo, sağlık hizmetleri açısından en büyük tehdit olarak ortaya çıkabilir” dedi.
Araştırmacılar, Ambargo’nun ilk kez 2024 baharında ortaya çıktığını söylüyor. Çete, web sitesinde kendisini “herhangi bir siyasi bağlantısı olmayan uluslararası bir ekip” olarak tanımlıyor.
Hamilton, “Uluslararası olduğu ve hiçbir siyasi bağlantısı olmadığı iddialarına inanılacak olursa, ambargonun ulus devlet desteğiyle bağlantısı yok gibi görünüyor” dedi. “Kurban listeleri, hedeflerinin özellikle istikrarı bozmak veya kritik altyapıyı etkilemek için seçildiği anlamına gelmiyor.”