Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Çete, Kurbanları ‘Gelişmiş’ Sızma ve Şifreleme Gasp Saldırılarıyla Vuruyor
Marianne Sosis McGee (SağlıkBilgi Güvenliği) •
7 Ekim 2024
ABD federal yetkilileri, sağlık sektörü kuruluşlarının endişelenecek başka bir fidye yazılımı grubu daha olduğu konusunda uyarıyor. Sağlık ve İnsani Hizmetler Bakanlığı bir tehdit uyarısında, nispeten yeni bir tehdit aktörü olan Trinity’nin, karmaşık çifte şantaj saldırılarıyla sağlık hizmetleri de dahil olmak üzere kritik endüstrileri hedef aldığını söyledi.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
HHS Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi Cuma günü yaptığı açıklamada, ilk kez bu baharda ortaya çıkan Trinity’nin, dosyaları ChaCha20 şifreleme algoritmasıyla şifrelemeden önce kurbanın hassas verilerini sızdırdığını söyledi.
HHS HC3, ChaCha20’nin verileri hem şifrelemek hem de şifresini çözmek için 256 bitlik bir anahtar kullanan, dosyaları “.trinitylock” uzantısıyla etiketleyen simetrik bir şifreleme algoritması olduğunu söyledi.
Şifre çözme yardımı için bir kurban “destek sitesi” ve kurbanlarını listeleyen bir sızıntı sitesi işleten Trinity, diğer iki fidye yazılımı grubu olan 2023Lock ve Venus ile de benzerlikler paylaşıyor. HHS HC3, bunun, tehdit aktörleri arasındaki olası bağlantılara veya işbirliklerine işaret ettiğini söyledi.
Uyarıda, “Grubun taktikleri ve teknikleri karmaşık olup, onları ABD sağlık ve halk sağlığı sektörü için önemli bir tehdit haline getiriyor” denildi.
Sağlık Bilgi Paylaşımı ve Analiz Merkezi, grubun Haziran 2024 civarında ortaya çıkmasından bu yana on Trinity kurbanını takip etti ve sağlık, perakende, konaklama, profesyonel hizmetler, finansal hizmetler ve eğitim de dahil olmak üzere çeşitli sektörlerdeki yedi ülkedeki kuruluşları etkiledi.
Health-ISAC güvenlik şefi Errol Weiss, çetenin “kurbanların hassas bilgilerini kamuoyuna ifşa etme tehdidinde bulunarak fidye almak için büyük çaba sarf etme” eğiliminde olduğunu söyledi.
“Sağlık sektöründe en az iki kurban olduğunun farkındayız. Bu bana Trinity çetesinin ‘av tüfeği’ yaklaşımı kullandığını, toplu e-postalar gönderip tüm interneti tarayıp bir kurban aradığını gösteriyor.” dedi. “Özellikle herhangi bir şirketi veya sektörü hedef aldıklarını düşünmüyorum.”
HHS HC3, şu ana kadar bilinen iki sağlık sektörü kurbanının birinin ABD’de, diğerinin ise Birleşik Krallık’ta olduğunu söyledi.
HHS HC3 uyarısı sağlık sektörü kuruluşunu ismen tanımlamıyor ancak Pazartesi günü Trinity’nin sızıntı sitesi Colorado’daki Rocky Mountain Gastroenteroloji’den 330 gigabayt verinin çalındığını iddia etti.
Sağlık hizmeti sağlayıcısı, web sitesinde yayınlanan bir bildirimde şu anda teknik sorunlar yaşadığını söyledi. “Personelimizin telefon çağrılarına cevap verme kapasitesi sınırlıdır. Acil bir durumunuz varsa lütfen 911’i arayın. Prosedürler hâlâ planlandığı gibi gerçekleştiriliyor. Bugün bir prosedür için programınız varsa, lütfen belirlenen saatte gelmeyi planlayın.”
Rocky Mountain Gastro, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi.
Üçlü Ayrıntılar
HHS HC3, hem Trinity hem de Venus fidye yazılımı türlerinin, ChaCha20 şifreleme algoritması, benzer kayıt defteri değerleri ve muteks adlandırma kuralları kullanımı da dahil olmak üzere kod tabanları ve taktikleri açısından benzerliklere sahip olduğunu söyledi.
“Araştırmacılar ayrıca Trinity fidye yazılımı ile 2024’ün başlarından bu yana aktif olan 2023Lock fidye yazılımı arasında benzerlikler de gözlemledi. İki varyant arasındaki aynı fidye notları ve kod gibi derin benzerlikler, Trinity’nin 2023Lock fidye yazılımının daha yeni bir varyantı olabileceğini gösteriyor ” dedi HHS HC3.
Uyarıda, “Kurulumun ardından Trinity fidye yazılımı, çok iş parçacıklı şifreleme işlemlerini optimize etmek için işlemci sayısı, kullanılabilir iş parçacıkları ve bağlı sürücüler gibi sistem ayrıntılarını toplamaya başlıyor” denildi.
Daha sonra Trinity fidye yazılımı, meşru bir sürecin belirtecini taklit ederek ayrıcalıklarını artırmaya çalışacak. HHS HC3, “Bu, güvenlik protokollerinden ve korumalardan kaçmasına olanak tanıyor. Ayrıca Trinity fidye yazılımı, ağ taraması ve yanal hareket gerçekleştirerek, hedeflenen ağdaki birden fazla sisteme yayılma ve saldırı gerçekleştirme yeteneğini gösteriyor.” dedi.
Trinity, şifre çözme anahtarı karşılığında kripto para birimi cinsinden fidye ödemesi talep ediyor. HHS HC3, “Kurbanların siber suçlularla iletişim kurmak için 24 saati var ve bunu yapmamak, çalınan verilerin sızdırılmasına veya satılmasına neden olacak. Ne yazık ki şu anda Trinity fidye yazılımı için bilinen hiçbir şifre çözme aracı mevcut değil ve bu da kurbanlara çok az seçenek bırakıyor.” dedi.
Weiss, Trinity fidye yazılımı çetesinin kimlik avı saldırıları, yama yapılmamış sistemlerden yararlanarak ve çalıntı kimlik bilgilerini kullanarak kuruluşları başarıyla ele geçirdiğini söyledi.
“Trinity fidye yazılımının kurbanı olmayı önlemek için sağlık kuruluşları siber güvenliğin temellerine odaklanmalı; yama uygulama, sistemleri yedekleme ve uzaktan erişim için çok faktörlü kimlik doğrulamayı kullanma konularında güncel kalmalı” dedi.
Weiss, bunun ötesinde kuruluşların Ocak ayında açıklanan HHS siber performans hedeflerinde belgelenen minimum siber güvenlik yönergelerini takip etmesi gerektiğini tavsiye etti.
“Bu fidye yazılımı çetelerinin evriminde de gördüğümüz gibi, bireysel hastaları da hedef almaları muhtemelen an meselesi. Bu, sağlık hizmeti sağlayıcıları ve etkilenen hastalar için tam bir kabus.”
Tarihsel olarak, hizmet olarak fidye yazılımı modelinde faaliyet gösteren birçok fidye yazılımı grubu, hastaneler veya kritik altyapılar gibi bazı belirli sektörlerin ihlal edilmesini önlemeyi, böylece topluma büyük zarar verilmesini önlemeyi ve dolayısıyla hukukun daha az dikkat çekmesini içeren dahili bir etik kurallarına sahipti. Netskope güvenlik firmasında kıdemli tehdit araştırma mühendisi olan Leandro Fróes, yaptırımın uygulanması gerektiğini söyledi.
Bu kod aslında çoğu çete için pencereden uçtu.
“Artık sağlık sektörünün çoğu fidye yazılımı grubu için kabul edilebilir bir hedef olduğu görülüyor” dedi.
“Sağlık sektöründe çalışan herkes, fidye yazılımının hedefi olacağını varsaymalı ve sistemlerini kilitlemek için gerekli önlemleri almalıdır.”