Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
CEO, Kongre Saldırganlarının Citrix Portalı Aracılığıyla Erişim Sağladığını Anlattı; Sonra ne oldu
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
30 Nisan 2024
Change Healthcare’e yapılan saldırıda siber suçlulara fidye ödemeye karar vermek, UnitedHealth Group CEO’su Andrew Witty’nin, bu hafta yıkıcı Change Healthcare mega hack’iyle ilgili kongrede yapılan iki duruşma öncesinde verdiği yazılı ifadeye göre şimdiye kadar karşılaştığı en zor seçimlerden biriydi.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
House Energy’ye yazılı ifadesinde, “İcra kurulu başkanı olarak fidye ödeme kararı bana aitti. Bu şimdiye kadar vermek zorunda kaldığım en zor kararlardan biriydi. Ve bunu kimsenin başına istemem” dedi. ve Ticaret Komitesi’nin Gözetim ve Soruşturmalar Alt Komitesi Çarşamba günkü duruşma öncesinde.
Witty’nin çarşamba öğleden sonra alt komite huzuruna çıkması, o sabahki ifadesinin ardından gelecek ve burada UHG siber saldırısına ilişkin Senato Finans Komitesi duruşmasının tek tanığı olacak.
Her iki meclisteki milletvekillerinin şirketin saldırıya tepkisi ve UHG’nin birçok satın alma yoluyla çok büyüyüp güçlenip güçlenmediği de dahil olmak üzere ilgili konular hakkında Witty’yi sorgulaması bekleniyor. UHG, Change Healthcare’i 2022’de 13 milyar dolara satın alarak şirketi yıllık 15 milyar işlemden sorumlu hale getirdi ve ABD’deki her 3 hastadan 1’ine “dokundu”
Witty’nin yazılı Temsilciler Meclisi komitesi ifadesi, saldırının arkasındaki BlackCat saldırganlarının 22 milyon dolar olduğunu iddia ettiği UHG’nin ödediği fidye miktarını belirtmiyor.
Milletvekillerinin Witty’ye sorması muhtemel sorular arasında, UnitedHealth Grubu’nun iki fidye ödeyip ödemediği de var: biri Alphv olarak da bilinen BlackCat’e, diğeri ise 4 terabaytlık çalınan Change Healthcare verisinin muhafazasını elinde bulundurduğunu iddia eden RansomHub grubuna (bkz. : Sağlık Saldırısını Değiştir: Ayrıntılar Ortaya Çıkıyor; İhlal En İyi Rekoru Kıracak).
RansomHub, iki hafta önce, bir BlackCat bağlı kuruluşunun UHG’nin başlangıçta ödediği iddia edilen 22 milyon dolarlık saldırı ödülünden kendisine düşen paydan dolandırıldığını iddia etmesinin ardından, UHG’nin çalınan verilerini içeren 22 kadar dosyayı sızdırmaya başladı.
RansomHub, sızdırılan verileri birkaç gün sonra karanlık web sitesinden kaldırdı ve bu, UHG’nin çalınan verilerin yayınlanmasını engellemek için ikinci bir fidye ödediği yönündeki spekülasyonları alevlendirdi.
Güvenliği ihlal edilmiş Citrix Portalı
Witty, Temsilciler Meclisi komitesindeki ifadesinde, bilgisayar korsanlarının kullandığı saldırı yöntemine ilişkin birkaç ayrıntı verdi.
Witty, adli tıp soruşturması devam ederken, şu ana kadar UHG’nin, 12 Şubat’ta (saldırganların fidye yazılımı başlatmasından dokuz gün önce) suçluların, masaüstü bilgisayarlara uzaktan erişimi etkinleştirmek için kullanılan bir uygulama olan Change Healthcare Citrix portalına uzaktan erişmek için ele geçirilen kimlik bilgilerini kullandığını tespit ettiğini söyledi. .
“Portalda çok faktörlü kimlik doğrulaması yoktu. Tehdit aktörü erişim sağladıktan sonra sistemler içinde daha karmaşık yöntemlerle yanlara doğru hareket etti ve verileri sızdırdı” dedi.
Witty, 21 Şubat’ta fidye yazılımı saldırısını fark eden ve o sırada Change Healthcare ağına giriş noktasını bilmeyen şirketin, daha fazla enfeksiyon olasılığını ortadan kaldırmak için Change’in veri merkezleriyle bağlantısını derhal kestiğini söyledi. “Birçok Değişim ortamının kapatılması son derece yıkıcı olsa da, yapılması gereken doğru şeydi” dedi.
“Saldırının çevresini güvence altına aldık ve kötü amaçlı yazılımların Değişimin ötesinde daha geniş sağlık sistemine yayılmasını önledik. İşe yaradı. Değişimin ötesinde herhangi bir dış ortama ya da Optum, UnitedHealthcare veya UnitedHealth Group’a yayıldığına dair hiçbir kanıt olmadı. “
Witty, fidye yazılımının piyasaya sürülmesinden birkaç saat sonra UHG’nin FBI ile temasa geçtiğini ve kolluk kuvvetleriyle düzenli iletişim halinde olmaya devam ettiğini söyledi. “İzinsiz girişle ilgili ayrıntılar, saldırı yöntemi, uzlaşma göstergeleri ve soruşturmaya yardımcı olacak diğer bilgiler dahil olmak üzere kritik bilgileri paylaştık.”
Witty, 21 Şubat öğleden sonra UHG’nin Google, Microsoft, Cisco, Amazon ve diğer şirketlerden uzmanları Change Healthcare’in Nashville merkezi komuta operasyon merkezine çağırdığını ve burada Mandiant ve Palo Alto Networks’ün güvenlik ekiplerine katıldığını söyledi.
Ekipler 24 saat çalışarak Change Healthcare’in teknoloji altyapısını sıfırdan yeniden inşa etti.
“Ekip binlerce dizüstü bilgisayarı değiştirdi, kimlik bilgilerini değiştirdi, Change Healthcare’in veri merkezi ağını ve temel hizmetlerini yeniden inşa etti ve yeni sunucu kapasitesi ekledi. Ekip, yalnızca haftalar içinde yeni bir teknoloji ortamı sağladı; normal koşullar altında aylarca sürecek bir taahhüt. ” dedi Esprili.
Saldırının doğası ve veri incelemesinin karmaşıklığı nedeniyle, etkilenen müşterileri ve bireyleri belirlemek ve bilgilendirmek için yeterli bilginin elde edilmesi için UHG’nin birkaç ay analiz yapması muhtemeldir; bunun nedeni kısmen söz konusu verileri içeren dosyaların güvenliğinin ihlal edilmiş olmasıdır. Siber saldırıdır” dedi.
UHG ve dışarıdan uzmanlardan oluşan bir ekibin, verilerin yayınlanıp yayınlanmadığını belirlemek için interneti ve karanlık ağı izlemeye devam ettiğini söyledi.
“Elbette yasal gerekliliklere uyacağız ve etkilenen bireylere bildirimde bulunacağız ve izin verildiği takdirde müşterilerimize ve müşterilerimize onlar adına bildirimde bulunmayı teklif ettik” dedi. UHG, “bildirimizin etkili, yararlı ve yasalara uygun olduğundan emin olmak için” Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi ile yakın işbirliği içerisinde çalışmaktadır.
Witty, müdahale ve kurtarma sırasında çevrimdışına alınan Change Healthcare’in eczane, sağlayıcı ödemeleri ve talep işleme dahil en kritik BT sistemlerinin çoğunun neredeyse normal işlevselliğe döndürüldüğünü söyledi.
Bir aydan uzun süredir devam eden BT kesintisi, eczaneler, doktor muayenehaneleri ve hastaneler de dahil olmak üzere sağlık sektörü oyuncularının büyük bir kısmını sekteye uğrattı. Amerikan Tabipler Birliği de dahil olmak üzere bazı sektör grupları, birçok sağlayıcının hala sıkıntı yaşadığını ve kesintinin en yüksek olduğu dönemde işlenemeyen yığınla işi tamamlamaya devam ettiğini, bunun da mali istikrarlarını ciddi şekilde etkilediğini bildirdi.
Witty yazılı ifadesinde milletvekillerine, 26 Nisan itibarıyla UHG’nin olaydan etkilenen sağlık hizmeti sağlayıcılarına 6,5 milyar dolar mali yardım sağladığını söyledi.
“Bu saldırıya yanıt verirken, fidye talebi de dahil olmak üzere pek çok zorluğun üstesinden geldiğimizden, insanların kişisel sağlık bilgilerini korumak için mümkün olan her şeyi yapma konusundaki öncelikli öncelik bana rehberlik etti” dedi.
“Kolluk kuvvetlerinin bu suçluları takip etmesini, yakalamasını ve adalete teslim etmesini sağlayacak bilgileri paylaşmaya devam edeceğiz.”
Yaygın Hata?
Güvenlik firması Beyond Identity’nin CEO’su Jasson Casey, Change Healthcare’in Citrix portalında şirketin ağına girişte çok faktörlü kimlik doğrulamanın bulunmamasının ne yazık ki diğer kuruluşlar arasında yaygın bir sorun olduğunu söyledi.
“Birçok kuruluş, algılanan karmaşıklık, kullanıcı rahatsızlığı veya sanal masaüstü altyapısının temel güvenliğine ilişkin yanlış varsayımlar nedeniyle bu temel güvenlik önlemini uygulamada başarısız oluyor” dedi.
Casey, benzer güvenlik ihlali senaryolarından kaçınmak için kuruluşların Citrix portalları da dahil olmak üzere tüm kritik sistemlerde kimlik avına karşı dayanıklı MFA uygulamasına öncelik vermesi gerektiğini söyledi. “Anlık bildirimler, zamana dayalı tek kullanımlık şifreler ve şifreler gibi kimlik avına maruz bırakılabilen faktörler artık modern düşmanlara karşı koruma sağlamak için yeterli değil.”