Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi, Yama Yönetimi
Güvenlik Açığı İstismarını İçeren Fidye Yazılımı Saldırılarını Önlemek İçin Acil Eylem Gerekiyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
5 Aralık 2023
Fidye yazılımı saldırılarında yakın zamanda yaşanan artış, federal düzenleyicileri ve Amerikan Hastaneler Birliği’ni, belirli NetScaler ADC ve NetScaler Gateway cihazlarını etkileyen Citrix Bleed yazılım kusurunun olası istismarını önlemek için hastanelere ve diğer sağlık firmalarına acil uyarılar yayınlamaya yöneltti.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Günümüzün Tehditlerine Karşı Savunma
Sağlık ve İnsan Hizmetleri Bakanlığı’nın Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi’nin 30 Kasım’daki uyarısı ve AHA’nın Cuma günkü uyarısı, Citrix Bleed’in istismarını içerdiğinden şüphelenilen fidye yazılımı saldırıları dalgasının sağlık sektöründeki kuruluşları vurması üzerine geldi. son haftalarda diğer sektörlerde olduğu gibi (bkz: Citrix Bleed İstismarlarının Ortasında NetScaler Uyarıyor: Oturumları Öldürün).
HHS ajansı, “HC3, sağlık hizmetleri ve kamu sağlığı sektörüne daha fazla zarar gelmesini önlemek için kuruluşlara yükseltme yapma çağrısında bulunuyor.” diye uyardı.
AHA’nın siber güvenlik ve risk ulusal danışmanı John Riggi, derneğin uyarısında, HHS’nin uyarısının aciliyetinin Citrix Bleed güvenlik açığının “ciddiyetini” ve sağlık hizmetleri BT sistemlerini güvence altına almak için mevcut Citrix yamalarını ve yükseltmelerini dağıtma ihtiyacını gösterdiğini söyledi.
Riggi, “Bu durum aynı zamanda başta Rusça konuşan gruplar olmak üzere yabancı fidye yazılımı çetelerinin hastaneleri ve sağlık sistemlerini hedef almaya devam ettiği saldırganlığı da gösteriyor.” dedi. “Fidye yazılımı saldırıları sağlık hizmeti sunumunu aksatıp geciktirerek hastaların hayatını tehlikeye atıyor. Siber suçluların özellikle tatil sezonunda bu alanı hedeflemeye devam edeceğine şüphe olmadığından uyanık kalmalı ve siber savunmalarımızı güçlendirmeliyiz.”
CVE-2023-4966 olarak takip edilen Citrix Bleed güvenlik açığı, 21 Kasım’da Siber Güvenlik ve Altyapı Güvenliği Ajansı, FBI ve Çok Devletli Bilgi Paylaşımı ve Teşkilatının ortak uyarısı da dahil olmak üzere daha önceki hükümet uyarılarının konusu olmuştu. Rusça konuşan fidye yazılımı grubu LockBit 3.0 ve bağlı kuruluşlarının istismarına ilişkin Analiz Merkezi.
Ertesi gün HHS HC3, LockBit 3.0’ın sağlık ve kamu sağlığı sektöründeki kuruluşları hedef alan fidye yazılımı saldırılarına karşı uyarıda bulunarak Citrix Bleed hakkında ilk uyarısını yayınladı.
Tatil Spike’ı mı?
NetScaler, Ekim ayında güvenlik açığı hakkında bir bülten yayınladı ve ardından Kasım ayı sonlarında, yama yapılmamış NetScaler ADC’lerdeki güvenlik açığından yararlanmaya yönelik “girişimlerde keskin bir artış” olduğuna dair raporlar olduğunu söyleyerek kusur hakkında tekrar uyarıda bulundu.
AHA, güvenlik açığından yararlanılmasının siber tehdit aktörlerinin parola gereksinimlerini ve çok faktörlü kimlik doğrulama önlemlerini atlamasına olanak tanıdığı konusunda uyardı.
HHS HC3, son uyarısında güvenlik açığının Ağustos ayından bu yana defalarca istismar edildiğini söyledi. Satıcı, Citrix’in bu güvenlik açığı için Ekim başında bir yama yayınlamasına rağmen, zaten güvenliği ihlal edilmiş olan oturumların yama uygulandıktan sonra da aktif olacağı konusunda uyardı.
HC3, tüm yöneticileri, cihazlarını yükseltmek ve belirli belirli komutlarla aktif veya kalıcı oturumları kaldırmak veya “sonlandırmak” için NetScaler’ın rehberliğini takip etmeye teşvik ediyor.
Şükran Günü’nden bu yana siber suçlular, bazı hasta sağlık hizmetlerini aksatan en az iki ABD hastane grubunu siber saldırılarla vurdu: Tennessee merkezli Ardent Health Services ve New Jersey’deki Capital Health.
Her iki kuruluş da Citrix Bleed’in istismarının söz konusu olup olmadığını kamuoyuna doğrulamadı.
Bazı uzmanlar sağlık sektörüne yönelik siber saldırıların önümüzdeki haftalarda artmaya devam edeceğini öngörüyor.
Danışmanlık şirketi First Health Advisory’nin kurucusu ve CEO’su Carter Groome, “Siber suçlular tatili, savunmasız sistemleri araştırmak ve kuruluşlara, işletmelere ve kritik altyapıya ait kritik ağları ve sistemleri bozmak için azalan iş gücünden yararlanmak için kullanıyor” dedi.
“Bu aktörler, tatil sırasında siber saldırıların gerçekleştirilmesinin iyileşmeyi ve müdahaleyi çok daha zorlaştırdığını keşfetti. Sadece sağlık kuruluşları kaynak eksikliği yaşamakla kalmıyor, aynı zamanda tatil sırasında darbe alan şirketler de olaya müdahale ekiplerini bir araya getirmek için çabalıyor” dedi.
“CEO tatil yemeğine oturduğunda veya hukuk müşaviri tatildeyken, kurtarma çabaları kolayca sekteye uğrar.”