Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özgü
HHS, “Belirsiz” Grubun Yeniden Ortaya Çıktığını, Bir Kanser Merkezini Vurduğunu Söyledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
19 Haziran 2023
Federal makamlar, sağlık sektörünü, “belirsiz” bir fidye yazılımı grubunun ABD’deki bir kanser merkezine düzenlediği saldırının ardından TimisoaraHackerTeam tehditlerinin bariz bir şekilde yeniden canlanması konusunda uyarıyor.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Sağlık ve İnsani Hizmetler Departmanı, THT’nin bu ay mağdur ettiği iddia edilen ABD kanser merkezini tanımlamıyor, ancak saldırının “hasta tedavi kapasitesini önemli ölçüde azalttığını, dijital hizmetleri kullanılamaz hale getirdiğini ve ayrıca hasta tarafından korunan sağlık bilgilerinin ve kişisel olarak tanımlanabilir bilgilerin ifşa edilmesini tehdit ettiğini” söylüyor. “
Cuma günü yayınlanan uyarıda TimisoaraHackerTeam veya THT’nin güvenlik araştırmacıları tarafından 2018’de keşfedilen ve daha önce dünya çapında sağlık sektörü kuruluşlarına saldıran “nispeten bilinmeyen” bir tehdit aktörü olduğu uyarısında bulunuldu.
Bilinmeyen hacker grubu hakkında çok az şey biliniyor, ancak fidye yazılımı dağıtıldığında, nadiren kullanılan ve etkili bir hedef ortamdaki veri şifreleme tekniği sağlık ve halk sağlığı sektörünü felç etti.
HHS, THT’nin kaynak kodunun Romence konuşanlar tarafından üretildiği ve grubun adının bir Rumen kasabası olan Timisoara’dan geldiğini söyledi. Çoğu fidye yazılımı grubu gibi, THT de mali amaçlara sahip görünüyor ve şifrelenmiş sunucuların şifresini çözmek için genellikle bitcoin cinsinden fidye talep ediyor.
Güvenlik uzmanları, klinik ortamlardaki fidye yazılımı saldırılarının hasta sağlığı için olumsuz sonuçları olduğu konusunda uyarıyor. Siber Güvenlik ve Altyapı Güvenliği Dairesi tarafından Eylül 2021’de yayınlanan bir uyarı, siber saldırıları artan hasta ölümleriyle ilişkilendirir.
HHS, “Birçok fidye yazılımı grubu gibi kurbanların dosyalarını şifrelemek için özel olarak oluşturulmuş araçlar kullanmak yerine, THT’nin Microsoft BitLocker ve Jetico’nun BestCrypt gibi meşru araçları kötüye kullanma şeklindeki karakteristik taktiği, onları tehdit aktörleri arasında benzersiz kılıyor” diye yazdı.
THT’nin BitLocker ve BestCrypt dahil olmak üzere “karada yaşayan” araçları kullanması, algılamayı zorlaştırır.
HHS, grubun yöntemlerinin DeepBlueMagic gibi diğer tehdit aktörleri ve APT41 dahil çeşitli Çinli bilgisayar korsanları ile olası bağlantıları öne sürerek, devam eden bir ilişkinin spekülasyonlarını körüklediğini yazdı.
DeepBlueMagic, İsrail sağlık kuruluşlarını hedef alan bir siber saldırı dalgasının ortasında, 2021’de İsrail hükümetine ait Hillel Yaffa Tıp Merkezi’ne yönelik bir saldırıya karışmıştı (bkz:: İsrail Sağlık Kuruluşlarına Yönelik Daha Fazla Siber Saldırı Girişimi).
2021’de bir Fransız hastanesine düzenlenen saldırı, grubun daha önce BestCrypt ve BitLocker kullanımına ve bu olayda kullanılan diğer TTP’lere dayanarak, genel olarak THT’ye atfedildi.
HHS, THT saldırılarının “zayıf korunan uzak masaüstü erişimi ve hedeflenen orta ila büyük sunuculardan” yararlanılarak gerçekleştirildiğini söyledi. HHS, grubun bir kurbanın ağına erişmek için savunmasız VPN’lere karşı CVE’ler de dahil olmak üzere çeşitli istismarlar kullandığı biliniyor.