Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Son Kurbanlar arasında Pensilvanya Acil Durum Sevkiyat Sistemi de yer alıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
8 Şubat 2024
ABD federal yetkilileri sağlık sektörünü Akira fidye yazılımı grubundan gelen tehditler konusunda bir kez daha uyarıyor. En son uyarı, çetenin son zamanlarda yaptığı çok sayıda saldırının hemen ardından geldi; buna geçen ay Bucks County, Pensilvanya’da gerçekleşen ve acil müdahale ekiplerinin kullandığı bir BT sistemini bir haftadan fazla süreyle kapatan bir saldırı da dahil.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Sağlık ve İnsani Hizmetler Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi Çarşamba günü Akira hakkında son beş ay içinde ikinci uyarısını yayınlayarak fidye yazılımı çetesinin yalnızca Mart 2023’ten bu yana faaliyet göstermesine rağmen “önemli bir tehdit” haline geldiği uyarısında bulundu. ABD kamu ve özel sağlık sektörleri (bkz: Federaller Sağlık Sektörünü Akira Fidye Yazılımı Tehditleri Konusunda Uyardı).
HHS HC3’ün en son uyarısı, Finlandiya hükümetinin Ulusal Siber Güvenlik Merkezi’nin geçen ay Akira hakkında yaptığı benzer uyarının ve Aralık ayında birçok ülkede çeşitli sektörlerdeki kuruluşlara yönelik bir dizi saldırının ardından geldi.>
Saldırılar arasında Ocak ayında Finlandiyalı BT hizmetleri firması Tietoevry’ye yapılan ve İsveç’te yaygın kesintilere yol açan, sağlık hizmetlerini, yerel ve ulusal hükümet hizmetlerini, perakende satış mağazalarını ve ülkenin en büyük sinema zincirini etkileyen bir saldırı da yer alıyor (bkz.: Tietoevry’ye Fidye Yazılımı Saldırısı İsveç Genelinde BT Kesintilerine Neden Oldu).
Akira şu ana kadar yaklaşık 81 kurbanın olduğu küresel bir tehdit olsa da, grup dikkatini ABD’ye odaklıyor gibi görünüyor ve özellikle Kaliforniya, Teksas, Illinois ve Doğu Yakası’ndaki, özellikle de Kuzeydoğu’daki eyaletlerdeki organizasyonları vuruyor. HHS HC3 dedi. HHS HC3, sağlık hizmetlerine ek olarak hedeflenen diğer sektörlerin arasında malzeme, imalat, mal ve hizmetler, inşaat, eğitim, finans ve hukuk sektörlerinin yer aldığını söyledi.
Bucks County yetkilileri, Akira fidye yazılımı saldırısının, ilçenin Acil Durum İletişimi Departmanı’nın bilgisayar destekli sevkıyat (CAD) sistemlerini dokuz gün boyunca çevrimdışı duruma getirdiğini söyledi.
İlçe, kesinti sırasında sevk görevlilerinin çağrıları belgelemek ve göndermek için yedek sistemlere güvendiğini ve 911’in çağrı alma ve sevk etme yeteneklerinin olay sırasında kesintiye uğramadığını söyledi.
Bucks County, saldırganla pazarlık yapmadığını veya sistemlerini geri yüklemek için fidye ödemediğini söyledi. İlçeden yapılan açıklamada, ilçenin BT ve Acil Durum İletişim departmanlarının, yedeklemeleri yoluyla CAD sistemini geri yüklediği ve sistemin yeniden inşasının devam ettiği belirtildi.
Çarşamba günü, Bucks İlçesi Komiserler Kurulu, ilçenin etkilenen CAD sisteminin daha fazla restorasyonunu hızlandırma çabalarını desteklemek için siber adli tıp ve hukuk firmaları ile sözleşmelerin yanı sıra bir Afet Acil Durum Bildirgesi’ne izin veren kararları onayladı. .
İlçe, şu ana kadar Bucks County’nin adli tıp soruşturmasında herhangi bir verinin CAD sisteminden kopyalandığına veya çıkarıldığına dair bir kanıt bulamadığını söyledi. Olay halen ilçe, eyalet ve federal yetkililer tarafından araştırılıyor.
Bucks County sözcüsü, Bilgi Güvenliği Medya Grubu’nun saldırıyla ilgili ek ayrıntı talebini reddetti.
Conti’yle ilgili mi?
HHS HC3, mevcut Akira tehdidinin, 2017’de kısa süreliğine ortaya çıkan Akira olarak da adlandırılan daha önceki bir fidye yazılımı çeşidiyle ilişkili görünmediğini söyledi. Ancak HHS HC3, çifte şantaj saldırılarına odaklanan mevcut Akira hizmet olarak fidye yazılımı grubunun artık feshedilmiş Conti çetesiyle bağlantıları var gibi göründüğünü söyledi.
Akira da benzer bir yararlanma yaklaşımı kullanıyor, benzer dosyaları ve dizinleri hedefliyor ve şifreleme algoritmaları için benzer bir uygulamayı kullanıyor. HHS HC3, grubun fidye ödeme adresleri ve benzer işlevlerin kullanımının da bir Conti bağlantısına işaret ettiğini söyledi.
HHS HC3, “İki grup arasında herhangi bir resmi ilişki veya bağlantı doğrulanmamış olsa da, böyle bir bağlantı Akira’nın operasyonlarında bir dereceye kadar karmaşıklığa işaret edebilir ve onların oldukça yetenekli olduğu ve ciddi bir tehdit olarak değerlendirilmesi gerektiği fikrini güçlendirebilir.” dedi.
Harekete geçmek
Akira’nın hedefleri hem Windows hem de Linux altyapılarını içeriyor ve hedef odaklı kimlik avı ve sanal özel ağ yazılımındaki güvenlik açıklarından yararlanma gibi taktikler yoluyla ilk erişimi elde ediyor.
“Daha sonra, ağa kalıcı erişim sağlamak için, görünüşte VPN uygulaması aracılığıyla bir hesap oluşturuyorlar. Faaliyetlerini tespit edilmekten gizlemek için uygun araçları kullandıktan sonra, operasyonel ortamlarını anlamak için hemen ağ keşifleri yapmaya başlıyorlar.” HHS HC3 dedi.
Saldırganlar mevcut kimlik bilgilerini elde etmek, altyapıda dolaşmak ve altyapılarına geri iletişim ve komuta ve kontrol kurmak için araçlar kullanır. Daha sonra HHS HC3, “sonunda verileri çaldılar ve fidye yazılımı dağıttılar” dedi.
Federal uyarı, sağlık sektörü kuruluşlarını Akira saldırılarına karşı savunmaya yardımcı olmak için çeşitli önlemler almaya çağırıyor. Bu, kimlik ve erişim yönetimi özelliklerinin, özellikle de VPN’ler için çok faktörlü kimlik doğrulamanın mevcut olmasını sağlamayı içerir.
HHS HC3, “Akira’nın, MFA ile korunmayan, güvenliği ihlal eden VPN’lerle ilgili bir geçmişi var. Akira, ağırlıklı olarak AnyDesk ve Uzak Masaüstü Protokolünü kullanan araçları içeren meşru uzaktan erişim araçlarından yararlanmaya odaklanıyor” dedi.
“Bu araçlar ve diğer uygulamalar, özellikle internete bakan uygulamalar için yama yönetimi kritik önem taşıyor.”
HHS HC3 ayrıca kuruluşların, kimlik bilgilerinin uygun şekilde korunmasını ve uygun şifre bakımı ve güncelleme politikalarının mevcut ve zorunlu kılınmasını sağlamak için önlemler alması gerektiğini söyledi. Ajans, “Akira’nın, Active Directory’de depolanan kimlik bilgilerinin tehlikeye atıldığı ve Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti işlem belleğinin boşaltıldığı bir geçmişi var” dedi.
Ayrıca HHS HC3, güvenliğin etkin olduğu yerel gruplara kullanıcı hesaplarının eklenmesinin, Akira’nın kalıcı erişim sağlamak için hesapların güvenliğini ihlal etmesinin önlenmesine yardımcı olacağını söyledi.
“Hesap güvenliğinin ihlali ve olağandışı etkinliklerin izlenmesi ve eski, kullanılmayan hesapların bir süre sonra otomatik olarak silinmesini sağlamak, saldırı yüzeyinin azaltılmasına yardımcı olabilir.”