İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suçlar, Sağlık Hizmetleri
Uzmanlar, UnitedHealth Grubu Pisliği Temizlerken Sağlık Sektörüne Adım Atmasını Tavsiye Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
23 Nisan 2024

UnitedHealth Group’un, Change Healthcare birimine yapılan siber saldırıda Amerika nüfusunun “önemli bir kısmına” ilişkin hassas bilgilerin ele geçirildiğini kabul etmesi, olayın ABD tarihinde rapor edilen en büyük sağlık verisi ihlali olma olasılığını harekete geçirerek, şimdiye kadarki rekorları geride bıraktı. Anthem Inc. hack’inin 2015 yılında yaklaşık 79 milyon kişiyi etkilediği bildirildi.
Ayrıca bakınız: Dijital Risk Korumasını Benimsetmek: Tehdit İstihbaratınızı Bir Sonraki Seviyeye Taşıyın
Change Healthcare, yılda 15 milyar işlem gerçekleştirdiğini ve ABD’deki 3 hastadan 1’ine “dokunduğunu” söylüyor. ABD Nüfus Sayım Bürosu’nun son rakamları, ülkenin toplam nüfusunu yaklaşık 336 milyon olarak gösteriyor.
BakerHostetler hukuk firmasından düzenleme avukatı Sara Goldstein, UHG’nin Pazartesi günü yaptığı açıklamaya dayanarak, “Marş ihlali konusunda bilgilendirilen kişi sayısını potansiyel olarak gölgede bırakabilecek çok büyük bir bildirim popülasyonu olacağını tahmin ediyoruz” dedi ve on milyonlarca kişinin etkileneceğini söyledi. (Görmek: UnitedHealth Grubu Büyük Değişimin Önizlemesini Yapıyor Sağlık Hizmetleri İhlalini Önizliyor).
Kendisi, sağlık sektörü kuruluşlarının, UnitedHealth Group’un düzenleyici kurumlara sunduğu resmi ihlal raporlarını (bu gerçekleştiğinde) takip etmesi ve özellikle şirketin etkilenen kuruluşlara yaptığı bildirimleri yakından takip etmesi gerektiğini tavsiye etti.
“Kapsanan kuruluşların HIPAA kapsamındaki gerekliliklere uygun olarak makul çabalarını göstermeye devam etmeleri gerekiyor” dedi (bkz: Fed’in Değişiklik Sağlık İhlali Raporlama Görevlerine İlişkin Kılavuzu Yayınlandı).
Kurumlar için makul özen tedbirlerinin, Change Healthcare’deki en son gelişmelerden haberdar olmak ve dahili BT ekiplerinden veya üçüncü taraf siber güvenlik firmalarından, potansiyel olarak çevrimiçi olarak yayınlanacak olan hastalarının korunan sağlık bilgilerine ilişkin güncellemeleri izlemeyi içerdiğini söyledi.
“Kuruluşunuza özel bilgiler almak için Change Healthcare hesap temsilcinizle iletişime geçin. Kapsam dahilindeki kuruluşların ayrıca dosyalar için HIPAA risk değerlendirmelerini belgelemeleri ve yeni gelişmeler oldukça güncelleme yapmaları gerekir” dedi.
Güvenlik ve gizlilik danışmanlığı Clearwater’ın başkan yardımcısı Dave Bailey, Change Healthcare ihlalinden potansiyel olarak etkilenen kuruluşların proaktif olması gerektiğini kabul ediyor.
“Kuruluşların, bu olay nedeniyle verilerin tehlikeye girip girmediğini belirlemek için bir risk değerlendirmesi yapma ve korunan sağlık bilgilerinin ihlaline ilişkin düzenleyici raporlama gerekliliklerini yerine getirme sorumluluğu vardır” dedi. “Bilinen her şeye göre o saat başladı.”
UnitedHealth Group’un Pazartesi günü TechCrunch’a saldırganlara fidye ödediğini doğruladığı ancak bunun ne kadar veya hangi siber suç çetesine ödendiğini söylemediği bildirildi.
Şubat ayındaki saldırının arkasında olduğunu iddia eden fidye yazılımı grubu Alphv olarak da bilinen BlackCat’in Batılı bir üyesi, UnitedHealth Group’un BlackCat’e 22 milyon dolar fidye ödediğini ancak bu bağlı kuruluşun ödülden pay alması durumunda aldatıldığını iddia ettiğini söyledi. Geçen hafta başka bir grup olan RansomHub, saldırıda 4 terabayt verinin sızdırıldığını iddia ederek BlackCat bağlı kuruluşu tarafından çalındığı iddia edilen dosyaları sızdırmaya başladı.
RansomHub tarafından yapılan bu listenin karanlık ağdan kaldırılması, UnitedHealth Group’un ikinci bir fidye ödemiş olabileceği yönündeki spekülasyonları alevlendirdi.
UnitedHealth Group Pazartesi günü yaptığı açıklamada, bazılarının PHI ve PII içerdiği iddia edilen sızdırılmış dosyalardan olduğu iddia edilen 22 ekran görüntüsünün, kötü niyetli bir tehdit aktörü tarafından yaklaşık bir hafta boyunca karanlık ağda yayınlandığını kabul etti. Şirket, “Şu anda PHI veya PII hakkında başka bir yayın yapılmadı” dedi.
UnitedHealth Group, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi.
Saldırı Ayrıntıları Yavaş Yavaş Ortaya Çıkıyor
Bu arada, saldırıya ilişkin ayrıntılar çok yavaş bir şekilde ortaya çıkıyor ve benzer tehditlerle karşı karşıya olan diğer sağlık sektörü kuruluşlarına içgörü sağlıyor.
Bu, Pazartesi günü Wall Street Journal’ın, bilgisayar korsanlarının fidye yazılımını başlatmadan dokuz gün önce Change Healthcare’in ağına erişim elde ettiği ve giriş aracı olarak personelin sistemlere uzaktan erişmesine izin veren bir uygulamadaki kimlik bilgilerini tehlikeye attığı iddiasını içeren raporu da içeriyor.
Bailey, saldırganların taktiklerinin sürpriz olmadığını söyledi. “Tüm tehdit göstergeleri, finansal motivasyona sahip, kimlik bilgilerini çalmak için bir kuruluşu hedef alacak, güvenlik açıklarından yararlanacak ve sızdırmak ve gasp etmek için verileri aramak üzere tespit edilmeden çalışan bir düşmanı tanımlar” dedi.
Güvenlik firması Protegrity’nin güvenlik, gizlilik ve stratejiden sorumlu başkan yardımcısı Anthony Cammarano, “İlk giriş genellikle kaba taneli, şeffaf ve bağlantısız veri koruma sistemlerinden yararlanmak için güvenilir yollardan yararlanan kimlik bilgileri doldurma veya kimlik avı saldırılarının sonucudur” dedi.
Kimlik bilgisi uzlaşmasının son zamanlarda saldırganlar için sıfır gün güvenlik açıklarının yerini alarak önde gelen ve tercih edilen uzlaşma yolu haline geldiğini söyledi.
“Mevcut kimlik bilgilerimizin şeffaf ve güvenilir yapısı nedeniyle bu genellikle en az direncin en kolay yoludur. Kuruluşların her güvenilen kullanıcının yanı sıra her zayıflığı ve saldırı yüzeyini kapsaması imkansız olmasa da önemli ölçüde zordur. Bu, bir düşmanın açığa çıkması için bir fırsat.”
Bu arada, güvenlik firması Critical Insight’ın kurucusu ve CISO’su Mike Hamilton, uzaktan erişim uygulamalarının saldırganlara kurbanın ağına ilk erişim sağlamada özellikle etkili olduğunu ve ilk tespitten önce geçen ortalama sürenin genellikle 100 güne yakın olduğunu söyledi.
“Değişim, izinsiz girişi çok daha hızlı bir şekilde tespit etti, ancak diğer kuruluşların uzaktan erişim araçları kullanılarak tehlikeye atıldığına dair sürekli hikayeler, kimlik bilgisi yönetimi, çok faktörlü kimlik doğrulama, sistem yamalama ve anormal olayların izlenmesinde daha sıkı kontroller için bir fırsat olmalıydı.”
Change Healthcare’in ortamına erişmek için kullanılan uzaktan erişim ürünü, muhtemelen, sunucu yöneticileri tarafından, tehdit grubunun yönetici düzeyinde kimlik bilgilerine sahip olduğu sunucuları ve/veya STM’yi uzaktan yönetmek için kullanılan bir araç olan Uzak Masa Protokolü ya da sunucunun kullandığı bir araç olan zamanlanmış görev yöneticisiydi. Güvenlik firması BullWall’un başkan yardımcısı Steve Hahn, yöneticilerin sunucuların bakımını yapmak ve güncellemeler gibi belirli gerekli görevleri planlamak için kullandığından şüpheleniyor.
“Saldırganlar genellikle %95 oranında, fark edilmeden istedikleri hemen hemen her şeyi yapmak üzere şirketteki her sunucuya uzaktan erişim sağlamak için RDP’yi kullanıyor. RDP, MFA tarafından korunabiliyor, dolayısıyla şirketler kendilerinin güvenli olduğunu düşünüyor” dedi. Ancak STM suçlular tarafından kullanıldığında, gerçek şifrelemeye yol açacak bir dizi olayı planlamanın bir yolu haline geldiğini söyledi.
Bilgisayar korsanlarının bazen aracı, son fidye yazılımı olayının hastanenin en az BT personelinin çalıştığı saatlerde (tatilde gece yarısı gibi) başlatılmasını planlamak için kullandığını söyledi.
“Bu saldırı zinciri o kadar basit ve etkili ki şirketlerin onu durdurma umudu yok” dedi. “Dark web’de suç gruplarının RDP’den şaka yollu ‘Fidye Yazılımı Dağıtım Protokolü’ olarak bahsettiğini gördüm.”
UnitedHealth Group’un 21 Şubat’ta Change Healthcare biriminin bir siber saldırıya uğradığını kamuoyuna açıklamasından kısa bir süre sonra, bazı uzmanlar olayın ConnectWise ScreenConnect uygulamasındaki güvenlik açıklarından yararlanılmasıyla ilgili olabileceği yönünde spekülasyonlar yaptı (bkz.: Sağlık Hizmeti Kesintisi Dünya Çapındaki Askeri Eczaneleri Etkiliyor).
ConnectWise, Change Healthcare saldırısı ile ScreenConnect kusurlarının potansiyel istismarı arasında herhangi bir bağlantı kurulmadığını söyledi. UnitedHealth Group henüz bu konuda kamuya açık bir yorumda bulunmadı.
Şimdi potansiyel bir ConnectWise bağlantısı hakkındaki spekülasyonlar yeniden gün yüzüne çıkıyor. Hamilton, “ConnectWise uzaktan erişim ürününün, başka bir veri ihlalinde açıklanan ve birden fazla sistemde kullanılan veya kimlik bilgisi doldurma yoluyla elde edilen kimlik bilgileri kullanılarak ele geçirildiği bildirildi.” dedi.
“Özellikle ConnectWise ürünü de o dönemde istismara karşı savunmasızdı ve sunucuya yama yapılıp yapılmadığı net değil, bu da ilk erişim vektöründe bazı belirsizliklere yol açıyor” dedi.
Hamilton, “Dikkatli kimlik bilgisi yönetimi, çok faktörlü kimlik doğrulama kullanımı ve iyi güvenlik açığı yönetimi, bu özel saldırı türünden kaçınmanın anahtarıdır” dedi.
“Daha da önemlisi, bir güvenlik açığı duyurulduğunda ve İnternet’e yönelik bir ürün için bir yama yayınlandığında, güvenlik açığının azaltılması bir olay olarak ele alınmalı ve buna göre önceliklendirilmelidir” dedi.
Ayrıca, ağın, uç noktaların ve bulut özelliklerinin iyi bir şekilde izlenmesinin (etkin olay müdahalesiyle birlikte) olayın etkisini sınırlamanın ve güvenlik açığının keşfedilme süresini kısaltmanın en iyi yolu olduğunu söyledi.