Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Black Basta’nın Ascension Fidye Yazılımı Saldırısından Sorumlu Görünmesiyle Tavsiyeler Geldi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
13 Mayıs 2024
ABD federal yetkilileri, hastane zinciri Ascension’a yapılan fidye yazılımı saldırısının arkasında onun olduğu yönündeki raporların ortasında, Rusça konuşan fidye yazılımı grubu Black Basta’nın aktif olarak Amerika’nın kritik altyapısını hedef aldığı konusunda uyardı.
Ayrıca bakınız: Sağlık Sektörü Siber Güvenlik Uygulamaları (HICP), Tehditlerle Mücadeleye ve Düzenleyici Riskleri Azaltmaya Nasıl Yardımcı Olur?
Ascension, Çarşamba günü tespit edilen ve ambulansların yönünü değiştirmeye ve acil olmayan prosedürleri ertelemeye zorlayan bir siber olaydan sonra toparlandığı için hala kesinti prosedürleri altında çalışıyor. St. Louis, Missouri’deki kar amacı gütmeyen Katolik hastaneleri zinciri, Amerika Birleşik Devletleri’ndeki en büyük hastanelerden biridir (bkz: Yükseliş Acil Durumdaki Hastaları Yönlendiriyor, Bakımı Erteliyor).
Ascension, saldırının Black Basta’ya atfedildiği Cuma günü yayınlanan CNN raporu hakkında yorum yapmadı, ancak artık olayın bir fidye yazılımı saldırısı olduğunu kabul ediyor.
Ascension soruşturmasına aşina bir kaynak Pazartesi günü Bilgi Güvenliği Medya Grubu’na Ascension saldırısının arkasında Black Basta’nın göründüğünü doğruladı. Hastane zinciri yorum talebine hemen yanıt vermedi.
Giderek artan sayıda araştırma ve analiz, hastane fidye yazılımı saldırılarının hastanelerdeki ölüm oranlarını artırdığı sonucuna varıyor. Minnesota Üniversitesi akademisyenleri tarafından Ekim 2023’te hazırlanan bir çalışma makalesi, halihazırda kabul edilmiş hastalar için fidye yazılımı saldırısı sonrası hastane içi ölüm oranındaki artışın en çok Siyah hastalarda belirgin olduğunu söylüyor. Yazarlar, orantısız etkinin, kapasitenin zorlandığı zamanlarda Siyah hastaların sağlığının beyaz hastaların sağlığından daha fazla zarar gördüğünü gösteren diğer araştırmalarla açıklanabileceğini söyledi.
Cuma günü yapılan uyarının arkasındaki federal kurumlar arasında Siber Güvenlik ve Altyapı Güvenliği Ajansı, FBI, Sağlık ve İnsani Hizmetler Bakanlığı ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi yer alıyor. Sağlık Bilgi Paylaşımı ve Analiz Merkezi ile Amerikan Hastaneler Birliği, ortak tavsiyeye dayanarak kendi uyarılarını yayınladı.
Federal danışma belgesi, bilgisayar korsanlarının sağlık hizmetleri de dahil olmak üzere 16 kritik altyapı sektörünün en az 12’sinden verileri şifrelemek ve çalmak için Black Basta fidye yazılımını kullandığı konusunda uyarıyor. Uyarıda, bu ay itibarıyla Black Basta üyelerinin dünya çapında birçok sektörde 500’den fazla kuruluşu etkilediği belirtiliyor.
Black Basta, ilk olarak Nisan 2022’de, Rusya’nın Şubat 2022’de Ukrayna’yı işgal etmesinden sonra parçalanan Conti fidye yazılımı grubunun bir yan ürünü olarak ortaya çıktı (bkz.: Conti’nin Mirası: Fidye Yazılımının En Çok Arananları Ne Oldu?).
Güvenlik firması Emsisoft’ta tehdit analisti olan Brett Callow, araştırmacıların bu yıl şu ana kadar 195 hastaneyi kapsayan 12 ABD sağlık sistemine çeşitli siber suç grupları tarafından gerçekleştirilen fidye yazılımı saldırılarından haberdar olduğunu söyledi. Geçtiğimiz yıl etkilenen hastane sistemlerinin toplam sayısı 46’ya ulaştı. Emsisoft, bilgisayar korsanlarının olayların çoğunda veri çaldığını tespit etti.
Black Basta fidye notları genellikle ilk fidye talebini veya ödeme talimatlarını içermez. Bunun yerine, notlar kurbanlara benzersiz bir kod sağlıyor ve onlara bir e-posta yoluyla fidye yazılımı grubuyla iletişim kurmaları talimatını veriyor. .onion Tor tarayıcısı aracılığıyla erişilebilen URL. Grup, çalınan verileri yayınlamadan önce genellikle mağdurlara talepte bulunmaları için 10 ila 12 gün süre tanıyor.
Danışman, “Sağlık kuruluşları, büyüklükleri, teknolojik bağımlılıkları, kişisel sağlık bilgilerine erişimleri ve hasta bakımı kesintilerinden kaynaklanan benzersiz etkileri nedeniyle siber suç aktörleri için cazip hedeflerdir” diyor.
Health-ISAC, uyarısında Black Basta’nın sağlık sektörü için “önemli bir tehdit” oluşturduğunu değerlendirdiğini söyledi. “Üyelerin tehdit aktörlerini ve onların taktiklerini, tekniklerini ve prosedürlerini yakından takip etmeleri önemle tavsiye edilir. Black Basta’nın C++ ile yazılmış kötü amaçlı yazılımı hem Windows hem de Linux sistemlerini hedefliyor. ChaCha20 ve RSA-4096 kullanarak verileri şifreliyor ve gölgeleri silmeye çalışıyor. kopyalar ve yedekler,” dedi Health-ISAC.
Black Basta üyeleri, ilk erişimi elde etmek için öncelikli olarak hedef odaklı kimlik avı yöntemini kullanıyor. Araştırmacılar, Black Basta bağlı kuruluşlarının da ilk erişim sırasında Qakbot’u kullandığını söyledi.
Grup üyeleri yanal hareket için Uzak Masaüstü Protokolünün yanı sıra BITSAdmin ve PsExec gibi araçları kullanır. Bazı bağlı kuruluşlar ayrıca uzaktan erişime ve yanal harekete yardımcı olmak için Splashtop, Screen Connect ve Cobalt Strike işaretçileri gibi araçları da kullanıyor.
Güvenlik firması Rapid 7’deki araştırmacılar, Cuma günü yayınlanan bir blog yazısında, şirketin, fidye yazılımı şifrelemesi içermeyen ancak Black Basta ile bağlantılı görünen birden fazla yönetilen tespit ve yanıt müşterisini hedef alan, devam eden bir sosyal mühendislik kampanyası tespit ettiğini söyledi.
Rapid 7 olay müdahale hizmetlerinin kıdemli yöneticisi Robert Knapp, “İmalat, ulaşım ve yiyecek ve içecek dahil olmak üzere çeşitli sektörlerdeki kuruluşların bu sosyal mühendislik girişimlerinden etkilendiğini gözlemledik” dedi. “Fidye yazılımı tehdidi, her sektördeki veya dikeydeki, her büyüklükteki tüm kuruluşlar için gerçektir” dedi.
Güvenlik firması Cyware’in siber güvenlik savunucusu Emily Phelps, Black Basta’nın hızlı uygulama ve stratejik hedefleme özelliğiyle öne çıktığını ve diğer fidye yazılımı gruplarına kıyasla genellikle hızlı ve ciddi kesintilere yol açtığını söyledi.
“Black Basta, uzaktan erişim sistemleri ve güncel olmayan yazılım yamalarıyla ilgili güvenlik açıklarından sıklıkla yararlanıyor. Sağlık kuruluşları, riskleri azaltmak için bu güvenlik açıklarının güvenliğini sağlamaya öncelik vermelidir” dedi.