Dolandırıcılık Yönetimi ve Siber Suç, Sağlık Hizmetleri, Sektöre Özel
Sağlık hizmeti sağlayıcıları, çete 2024’te ortaya çıkmasından bu yana düzinelerce varlık arasında
Marianne Kolbasuk McGee (Healthinfosec) •
23 Temmuz 2025
ABD yetkilileri, ilk olarak Eylül 2024’te görülen bir fidye yazılımı varyantı ile sağlık ve diğer kritik altyapı sektörleri de dahil olmak üzere birçok endüstride çeşitli işletmelere ulaşan çift genişlemeli çete kilitleme ile ortaya çıkan tehditler konusunda uyarıyorlar.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Salı günü Siber Güvenlik ve Altyapı Güvenlik Ajansı, FBI, ABD Sağlık ve İnsan Hizmetleri Bakanlığı ve Çok Devlet Bilgi Paylaşımı ve Analiz Merkezi’nden Ortak Uyarma, verileri ortaya koyan Interlock, kurban sistemlerini fidye yazılımı ile şifreliyor, Kuzey Amerika ve Avrupa’daki kuruluşları hedefliyor.
Çarşamba günü, Interlock’un karanlık web sitesi, sağlık hizmeti sağlayıcıları, okullar, inşaat, imalat ve gayrimenkul de dahil olmak üzere birçok sektörde iddia edilen mağdurların uzun bir listesini içeriyordu.
Interlock’un son sağlık kurbanları arasında, ABD ve diğer 13 ülkede 3.100’den fazla diyaliz ve diğer böbrek bakım tesislerini işleten Ohio’da 14 tıp merkezi ve 120’den fazla poliklinik işleten Ohio merkezli Kettering Health bulunmaktadır.
Federal Alert, Interlock fidye yazılımı şifrelemelerinin hem Windows hem de Linux işletim sistemleri için tasarlandığını söyledi. Alert, “Bu şifrelemelerin her iki işletim sisteminde de sanal makineleri şifrelemesi gözlendi.” Dedi.
Ortak danışmanlık, çoğu fidye yazılımı grubunun aksine, Interlock’un uzlaşmış meşru web sitelerinden sürücü-by indirme yoluyla ilk erişimi elde ettiğini söyledi.
“Aktörler, kurbanların kurbanın sistemi üzerinde bir sorunu çözme kisvesi altında kötü niyetli bir yük uygulamak için kandırıldığı ilk erişim için ClickFix sosyal mühendislik tekniği kullanılarak gözlendi. Aktörler daha sonra ağdaki diğer sistemlere yayılmak için çeşitli yöntemler, kimlik bilgisi erişim ve yan hareket kullanıyorlar.” Dedi.
Uyarı ayrıca, Interlock fidye yazılımının, her ikisinin ikili dosyalarındaki kod örtüşmeleri de dahil olmak üzere Rhysida fidye yazılımı varyantı ile bazı benzerliklere sahip olduğu görülüyor.
‘İdeal Hedefler’
Güvenlik araştırmacıları, geçen Eylül ayında ilk kez ortaya çıktığından beri interlock’a yakından bakıyorlar.
Güvenlik firması Sekoia.io’daki siber tehdit istihbaratları ve tespit analisti olan Kilian Seznec, Nisan ayında kilit tehditler hakkında bir rapor yayınlayan Kilian Seznec, “Birçok fidye yazılımı operatörü gibi – birçok fidye yazılımı operatörü gibi, güvenlik açıklarının ortaya çıktığı her yerde fırsatçı hedefleri takip ediyor gibi görünüyorlar.” Dedi.
“Interlock aktif bir gruptur. Bununla birlikte, Clop, Akira veya Qilin gibi büyük oyunculara kıyasla genel kurban sayısının mütevazı olduğunu unutmayın.” Dedi. Perspektife koymak için Interlock bu yıl şimdiye kadar 42 kurban iddia ederken, bu büyük çetelerin her biri 350’yi aştı.
Çete, drive-by indirmeleri ve nadir ClickFix yöntemini kullanmanın yanı sıra, çete ayrıca ısmarlama bir paketleyici gibi görünen bir şeyin yanı sıra özel bir arka kapı kullanır. “Nispeten küçük bağlı kuruluş tabanlarıyla birlikte alınan bu, operasyonlarına, diğer fidye yazılımı aileleriyle görülen endüstriyel ölçeğin aksine daha el işi veya ‘zanaat’ hissi veriyor.” Dedi.
Güvenlik firmasında tehdit istihbaratı direktörü JP Castellanos, Interlock’un dosya ve tıklama fix teknikleri geleneksel uç nokta savunmalarını atladığını söyledi.
Yetkili, “Kullanıcıların her iki tekniği de kullanmasını sağlamak için kilitle biraz sosyal mühendislik gerektirdiği için güvenilir görünen yerel ikili veya yükler kullanıyorlar.
Yetkili, satılmamış elektronik sağlık kayıt sistemleri ve teminatsız tıbbi şeylerin İnterneti cihazları, kilitli saldırganlar için potansiyel olarak ana hedeflerdir.
“Bunlar, doğal güvenlik açıkları, kritiklik ve sistemik karşılıklı bağımlılıkları nedeniyle kilitleme gibi fidye yazılımı grupları için ideal hedefler sunuyor” dedi. Birçok durumda, bu sistemler ağa düzgün bir şekilde bölümlenmez, bu nedenle bir ağ ihlali meydana geldikten sonra, sofistike bir saldırgan onlara erişim elde etmek için yanal olarak hareket edebilir.
“EHR ve IOMT cihazları genellikle veri yazılımı ve ürün yazılımı tükendiğinden ve gecikmiş yama döngülerinde, bu kullanımı nispeten kolaylaştırıyor. Fidye yazılımı grupları için gerçek ödül, EHR’de bulunacak, çünkü bu onlara değerli veri veriyor” dedi.
“Bununla birlikte, bir hastanedeki tıbbi cihazları bozma yeteneği, bu sağlık hizmeti sağlayıcıları için daha yüksek basınç, utanç verici ve potansiyel olarak tehlikeli bir durum yaratıyor. Bu, fidye müzakereleri için organizasyona baskı oluşturmaya yardımcı oluyor.”
Etik bir hacker ve Parametre Güvenliği CEO’su Dave Chronister, Interlock ve diğer siber saldırı tehditlerine katkıda bulunan faktörler arasında birçok sağlık sektörü kuruluşunun “çok düz” ağları olduğunu söyledi.
Bu kuruluşların birçoğu titiz bir segmentasyon yapmıyor, “özellikle ön büro sistemlerini EHR ve IOMT cihazları gibi daha hassas ve savunmasız platformlardan ayırmak açısından” dedi.
Chronister, Kettering Health’e yapılan son saldırının, sağlık kuruluşlarının hedeflendikten ve interlock gibi çeteler tarafından vurulduktan sonra karşılaştığı zorlukların “en iyi örneği” olduğunu söyledi. “Bu olayda, Interlock, EHR, telefon hatlarını ve dahili sistemleri etkileyerek ağ boyunca yanal olarak hareket edebildi.”
“Güvenlik ekiplerinin bu yüksek riskli varlıkları izole etmesi ve segmentleri alması gerekiyor.”
Harekete geçmek
Sağlık Bilgi Paylaşımı ve Analiz Merkezi, Grup 2024’ün son çeyreğinde ortaya çıkmasından bu yana tüm sektörlere karşı 51 kilitleme saldırısı gözlemledi ve sağlık hizmetlerini hedefleyenlerin yedisi, sağlık-ISAC baş güvenlik görevlisi Errol Weiss, dedi.
“Interlock özellikle ilgilidir, çünkü fidye yazılımı şifrelemesinin ötesinde, veri hırsızlığı ve veri gaspında rutin olarak dahil olurlar. Bu çift uzatma modeli, hasta gizliliği ve düzenleyici uyumluluk riskini önemli ölçüde artırır.” Dedi.
“Interlock’un sağlık sektörü, savunma sanayi üssü ve diğer kritik altyapı sektörlerine birincil odaklanmasıyla, saldırıları kritik hizmetleri bozma ve doğrudan hasta güvenliğini ve klinik sürekliliği etkileme potansiyeline sahiptir.”
Weiss, kuruluşu tüm kritik hesaplar, ayrıcalıklı kullanıcılar, sanal özel ağlar ve e-posta sistemleri için çok faktörlü kimlik doğrulama da dahil olmak üzere kritik güvenlik en iyi uygulamalarını ve kontrollerini uygulamaya teşvik eder.
Yamalardan güncel kalın, kritik sistemleri yedekleyin ve yedeklemeleri test edin, ortaya çıkan tehditler hakkında bilgi sahibi olmak, bir olay müdahale planını geliştirmek ve düzenli olarak test etmek için bilgi paylaşım topluluklarına aktif olarak katılın; ve personele devam eden siber güvenlik farkındalığı eğitimi sağladı.
“Bu durum, bir mağdurun olay detaylarının paylaşıldığı, daha sonra ağ savunucularının proaktif olarak engelli aktiviteyi engellemesi ve tespit etmesi için önemli bilgiler sağlayan, sağlık-ISAC gibi zamanında, eşler arası tehdit istihbarat topluluklarının muazzam değerinin altını çiziyor.” Dedi.
Diyerek şöyle devam etti: “Hükümet uyarıları geniş farkındalık için yararlı olsa da, sektöre özgü ISAC’lar genellikle daha ayrıntılı, eyleme geçirilebilir zeka sağlar.” Mayıs ayında Sağlık-ISAC ve Amerikan Hastane Derneği, bilinen uzlaşma göstergeleri olan üyeleri için kilitleme hakkında ortak bir danışma yayınladı.