Colorado’daki bir devlet dairesi, MOVEit Yönetilen Dosya Aktarımı platformuyla bağlantılı olarak Rusya’nın Cl0p fidye yazılımı grubu tarafından gerçekleştirilen üçüncü taraf saldırısının en son kurbanı oldu. Departman yetkilileri, grubun yaklaşık 4 milyon devlet sağlık programı üyesinin kişisel sağlık verilerini IBM tarafından yönetilen sistemlerden çaldığını söylüyor.
31 Mayıs’ta Colorado Sağlık Hizmetleri Politikası ve Finansman Departmanı (HCPF), bakanlığın çevrimiçi olarak erişebileceği bir genel duyuruya göre MOVEit Transfer uygulamasını etkileyen – nihayetinde bir siber güvenlik olayı olduğu belirlenen – bir sorun fark etti. HCPF’nin üçüncü kişi yüklenicisi olan IBM, uygulamayı “işin normal akışı içinde” HCPF veri dosyalarını taşımak için kullanır.
IBM’in MOVEit’e yönelik siber saldırıyı departmana bildirmesinin ardından, HCPF bir soruşturma başlattı ve kendi sistemlerinden hiçbirinin etkilenmediği, ancak “IBM tarafından kullanılan MOVEit uygulamasındaki belirli HCPF dosyalarına 28 Mayıs tarihinde veya yaklaşık olarak yetkisiz aktörler tarafından erişildiğini” belirledi. 2023″ dosyalamaya göre.
Ajans, “Progress Software, MOVEit sorununun, IBM de dahil olmak üzere dünya çapında birçok kullanıcıyı etkileyen bir siber güvenlik olayının sonucu olduğunu kamuoyuna duyurdu.” Dedi. “Hiçbir HCPF veya Colorado Eyaleti sistemi bu sorundan etkilenmedi.”
Ancak eyalet hükümeti sağlık programları olan Health First Colorado ve CHP+ üyelerinin bilgilerini içeren üçüncü taraf dosyaları ihlal edildi. Bakanlığa göre, HCPF ihlali nihayetinde 4.091.794 kişiyi etkiledi.
Saldırıda Cl0p tarafından potansiyel olarak erişilen veriler, kişilerin tam adı, Sosyal Güvenlik numarası, doğum tarihi, ev adresi ve diğer iletişim, demografik ve gelir bilgileri gibi kişisel olarak tanımlanabilir (PII) verileri içeriyordu. İhlal ayrıca kişilerin Medicaid veya Medicare kimlik numarası gibi kişisel sağlık verilerini, sağlık sigortası verilerini ve hatta teşhis veya durum, laboratuvar sonuçları, ilaç veya diğer tedavi bilgileri gibi klinik ve tıbbi bilgileri de açığa çıkardı.
Devam Eden Saldırılar
Olay, bu ay bir Colorado devlet kurumunu etkileyen ve eyalet sakinlerinin hassas verilerini ifşa eden ikinci olay. Bu ayın başlarında, Colorado Yüksek Öğrenim Departmanı (CDHE), 11 ve 19 Haziran tarihleri arasında gerçekleşen bir fidye yazılımı olayında yetkili bir aktörün sistemlerine eriştiğini ortaya çıkardı; kimliği belirsiz aktör, isimler, Sosyal Güvenlik numaraları ve öğrenci kimlik numaraları dahil ancak bunlarla sınırlı olmamak üzere özel ve hassas verileri çaldı.
Bu arada Cl0p, önce 1 Haziran’da keşfedilen sıfır günlük bir güvenlik açığından ve daha sonra Progress Software tarafından geliştirilen MOVEit Transfer uygulamasında tanımlanan diğer güvenlik açıklarından yararlanarak hem özel hem de genel çok sayıda yüksek profilli kurbanı kasıp kavurdu. 30 Haziran’a kadar, MOVEit fiyaskosunun teyit edilen kurbanlarının sayısı zaten 160’tı ve artıyordu ve Colorado’daki HCPF’ninki gibi yeni ifşaatlar devam ediyor.
MOVEit’teki fidye yazılımı çetesinin saldırılarından etkilendiği bilinen diğer devlet kurumları arasında Enerji Bakanlığı’nın Oak Ridge Associated Universities ve Waste Isolation Pilot Plant yer alırken, çok uluslu petrol ve gaz şirketi Shell ve British Airways gibi büyük şirketler de yakalandı. saldırılar
Veri güvenliği firması Fasoo’nun CTO’su Ron Arden, Dark Reading’e gönderdiği bir e-postada, saldırıların bir kuruluşun tedarik zincirinin diğer üyelerinin üçüncü taraf yüklenicileri tarafından yönetilen hassas verileri korumanın işletmeler için önemini bir kez daha vurguladığını belirtiyor.
“Colorado HCPF, müşterilerinin PII ve PHI bilgilerini şifreleseydi ve erişimini kontrol eden bir güvenlik politikası uygulasaydı, yetkisiz kullanıcılar buna erişemezdi” diye gözlemliyor. “Saldırganlar, MOVEit ürünündeki bilinen bir güvenlik açığını kullanarak verileri sızdırdıysa, okuyamadıkları için bu onlar için yararsız olacaktır.”
Azaltma Önerisi
Bildirime göre, HCPF ve üçüncü taraf sağlayıcıları, saldırının ardından sistemlerini daha fazla korumak için departman politikalarını, prosedürlerini ve siber güvenlik önlemlerini gözden geçirmeyi planlıyor. Departman ayrıca olayın mağdurlarına Experian aracılığıyla 24 ay boyunca kredi izleme hizmetlerine ücretsiz erişim sağlıyor.
Bakanlık, “HCPF bilgi güvenliğini ciddiye alıyor ve bu olayın neden olabileceği rahatsızlıktan dolayı özür diliyor” dedi.
HCPF, mağdurların kişisel bilgilerini korumak ve saldırının ardından kimlik hırsızlığı ve dolandırıcılığa karşı daha iyi korunmak için atabilecekleri adımlar şeklinde rehberlik sağladı. Etkilenen mağdurlara dağıtılan bilgiler, kredi dosyalarına nasıl dolandırıcılık uyarısı ve güvenlik dondurması konulacağını, ulusal tüketici raporlama kurumlarının iletişim bilgilerini ve ücretsiz kredi raporunun nasıl alınacağına ilişkin bilgileri içerir.
HCPF ayrıca mağdurlara, hesap özetlerini inceleyerek ve ücretsiz kredi raporlarını izleyerek dolandırıcılık ve kimlik hırsızlığı olaylarına karşı tetikte olmalarını hatırlattı ve herhangi bir şüpheli veya dolandırıcılık fark etmeleri halinde Federal Ticaret Komisyonu, eyalet Başsavcısı ve kolluk kuvvetleriyle iletişime geçmeleri için onları teşvik etti. ilgili etkinlik.