BlackCat/ALPHV fidye yazılımı çetesi, UnitedHealth Group’un (UHG) bir yan kuruluşu olan Optum’a yapılan ve Change Healthcare platformunu etkileyen devam eden bir kesintiye yol açan bir siber saldırının sorumluluğunu resmi olarak üstlendi.
Change Healthcare, Amerika Birleşik Devletleri’nde 70.000’den fazla eczane tarafından kullanılan en büyük ödeme değişim platformudur. UHG, dünya çapında 440.000 kişiyi istihdam eden ve 8.000 hastane ve diğer bakım tesislerinde 1,6 milyondan fazla doktor ve bakım uzmanıyla çalışan, gelir açısından dünyanın en büyük sağlık şirketidir.
BlackCat, bugün karanlık web sızıntı sitesinde yayınlanan bir açıklamada, Change Healthcare’in “binlerce sağlık hizmeti sağlayıcısı, sigorta sağlayıcısı, eczane vb.” ağından 6 TB veri çaldıklarını iddia ettiğini söyledi.
BlackCat, “Bir üretim ağının içinde bulunabilecek kritik ve hassas verilerin miktarını tahmin edebilirsiniz. Veriler, şirket tarafından işlenen hassas verilere sahip tüm Change Health müşterileriyle ilgilidir.” dedi.
Fidye yazılımı çetesi, Change Healthcare çözümlerinin kaynak kodunu ve ABD ordusunun Tricare sağlık programı, Medicare federal sağlık sigortası programı, CVS Caremark, MetLife, Health Net ve onlarca diğer sağlık sigortası dahil olmak üzere birçok ortağa ait hassas bilgileri çaldıklarını iddia ediyor sağlayıcılar.
BlackCat’in iddialarına göre Change Healthcare’den çalınan hassas veriler, milyonlarca insan hakkında geniş bir yelpazede bilgi içeriyor; bunlar arasında şunlar yer alıyor:
- tıbbi kayıtlar
- sigorta kayıtları
- diş kayıtları
- ödeme bilgileri
- talep bilgileri
- hastaların PII verileri (yani telefon numaraları, adresler, sosyal güvenlik numaraları, e-posta adresleri ve daha fazlası)
- aktif ABD askeri/deniz kuvvetleri personeli PII verileri
Optum, bu makalenin yayınlanmasından saatler önce özel bir durum sayfasında, etkilenen sistemleri tekrar çevrimiçi hale getirmek için geri yükleme üzerinde çalıştıkları konusunda uyardı ve Optum, UnitedHealthcare ve UnitedHealth Group sistemlerinin etkilenmediğini ekledi.
UnitedHealth Grubu Başkan Yardımcısı Tyler Mason olayın arkasında BlackCat’in olduğunu doğrulamasa da Mason bu hafta başında BleepingComputer’a, etkilenen 70.000’den fazla eczanenin %90’ının Sağlık Hizmeti Değişimi sorunlarını çözmek için yeni elektronik talep prosedürlerine geçtiğini söyledi.
Bugün BlackCat, Change Healthcare’in ağını ihlal eden bağlı kuruluşların kritik bir ScreenConnect kimlik doğrulama hatası (CVE-2024-1709) kullandığını da reddetti. Bu hafta başında soruşturmaya aşina kaynakların BleepingComputer’a söylediği gibi.
Salı günü FBI, CISA ve Sağlık ve İnsani Hizmetler Bakanlığı (HHS), Blackcat fidye yazılımı bağlı kuruluşlarının öncelikle ABD sağlık sektöründeki kuruluşları hedef aldığı konusunda uyardı.
Üç federal kurum, “Aralık 2023 ortasından bu yana, sızdırılan yaklaşık 70 kurban arasında en çok sağlık sektörü mağdur oldu” dedi.
“Bu muhtemelen ALPHV Blackcat yöneticisinin, Aralık 2023’ün başlarında gruba ve altyapısına karşı operasyonel eylem sonrasında bağlı kuruluşlarını hastaneleri hedef almaya teşvik eden gönderisine bir yanıttır.”
FBI daha önce BlackCat’i ilk dört aylık faaliyeti sırasında (Kasım 2021 ile Mart 2022 arasında) 60’tan fazla ihlalle ilişkilendirdi ve çetenin Eylül 2023’e kadar 1.000’den fazla kurbandan en az 300 milyon dolar fidye aldığını söyledi.
ABD Dışişleri Bakanlığı, BlackCat çete liderlerini ve grubun fidye yazılımı saldırılarıyla bağlantılı kişileri belirlemeye veya bulmaya yardımcı olacak ipuçları için artık 15 milyon dolara kadar teklif veriyor.