Resim: Yolculuğun ortasında
Kâr amacı gütmeyen sağlık hizmeti sağlayıcısı Güney Merkez Wisconsin Grup Sağlık Kooperatifi (GHC-SCW), bir fidye yazılımı çetesinin Ocak ayında ağını ihlal ettiğini ve 500.000’den fazla kişinin kişisel ve tıbbi bilgilerini içeren belgeleri çaldığını açıkladı.
Ancak saldırganlar ele geçirilen cihazları şifreleyemedi ve bu da GHC-SCW’nin harici siber olaylara müdahale uzmanlarının yardımıyla sistemlerini güvence altına almasına ve ihlali kontrol altına almak için izole edildikten sonra onları tekrar çevrimiçi hale getirmesine olanak tanıdı.
Sağlık kuruluşu, “25 Ocak 2024 sabahın erken saatlerinde, GHC-SCW, ağlarına yetkisiz erişim tespit etti. Bilgi Teknolojileri (BT) Departmanı, ağlarını kasıtlı olarak izole etti ve güvenliğini sağladı, bu da birçok sisteminin geçici olarak kullanılamaz hale gelmesine neden oldu.” Salı günü yayınlanan bir basın açıklamasında şunları söyledi.
“9 Şubat 2024’te araştırmamız sırasında, saldırganın, korunan sağlık bilgileri (PHI) de dahil olmak üzere GHC-SCW’nin bazı verilerini kopyaladığına dair belirtiler keşfettik. Yabancı bir fidye yazılımı çetesi olan saldırganın GHC ile iletişime geçmesiyle keşfimiz doğrulandı. -SCW saldırının sorumluluğunu üstleniyor ve verilerimizi çalıyor.”
Ocak ayındaki fidye yazılımı saldırısı sırasında çalınan sağlık verileri, etkilenen kişilerin adlarını, adreslerini, telefon numaralarını, e-posta adreslerini, doğum ve/veya ölüm tarihlerini, sosyal güvenlik numaralarını, üye numaralarını ve Medicare ve/veya Medicaid numaralarını içeriyor.
Etkilenen kişilerin tam sayısı verilmese de ABD Sağlık ve İnsani Hizmetler Bakanlığı ile paylaşılan ek bilgiler, veri ihlalinin 533.809 kişiyi etkilediğini gösteriyor.
Olaya yanıt olarak GHC-SCW, bu tür ihlallerin tekrar yaşanmasını önlemek için mevcut kontrollerin güçlendirilmesi, veri yedekleme ve kullanıcı eğitimi de dahil olmak üzere güvenlik önlemleri aldığını söyledi.
Etkilenen kişilere, elektronik mesajlar, fatura beyanları ve diğer iletişimler de dahil olmak üzere sağlık hizmeti sağlayıcılarının tüm iletişimlerini izlemeleri ve herhangi bir şüpheli etkinliği derhal GHC-SCW’ye bildirmeleri tavsiye edilir.
GHC-SCW, çalınan bilgilerin kötü amaçlarla kullanıldığına dair henüz kanıt bulamadı.
BlackSuit fidye yazılımı tarafından hak iddia edildi
Wisconsin merkezli kar amacı gütmeyen sağlık kuruluşu Ocak ayı ihlalinin arkasındaki tehdit grubunun adını açıklamazken, BlackSuit fidye yazılımı çetesi Mart ayında saldırıyı üstlendi.
Saldırganların iddialarına göre çalınan dosyalar aynı zamanda etkilenen hastaların mali bilgilerini, çalışanların verilerini, iş sözleşmelerini ve e-posta yazışmalarını da içeriyor.
BlackSuit’in karanlık web sızıntısı sitesi ilk olarak geçen Mayıs ayında tespit edilmiş ve o zamandan beri düzinelerce yeni kurbanla güncellenmiş olsa da, bu fidye yazılımı operasyonunun arkasındaki grup hakkında çok az şey biliniyor.
Haziran ayında, kötü şöhretli Conti siber suç grubunun doğrudan varisi olduğuna inanılan son derece aktif Royal fidye yazılımı çetesi, Nisan ayında marka değişikliği söylentilerinin ortaya çıkmasından sonra BlackSuit adlı yeni bir şifreleyiciyi test etmeye başladı.
O zamandan beri Royal, BlackSuit olarak yeniden markalaştı ve Conti sendikasının bir parçası olduklarında Team 2 (Conti2) olarak kullandıkları modele benzer şekilde daha merkezi bir operasyon halinde yeniden organize oldu.
FBI ve CISA, Kasım ayında ortak bir danışma belgesinde, Royal fidye yazılımı çetesinin Eylül 2022’den bu yana dünya çapında en az 350 kuruluşun ağlarını ihlal ettiğini ve operasyonu 275 milyon dolardan fazla fidye talebiyle ilişkilendirdiğini açıkladı.