NHS Dumfries ve Galloway'de ilk olarak Mart 2024'ün başlarında ortaya çıkan yakın tarihli bir siber olayın kapsamı, Inc Ransom adındaki bir siber suç operasyonunun iddia ettiği gibi daha geniş İskoç sağlık hizmetini kapsayacak şekilde genişlemenin eşiğinde olabilir. NHS İskoçya'dan çalınan üç terabaytlık veriye sahip olmak.
Inc Ransom, karanlık ağdaki bir gönderide İskoçya'daki NHS'de çalışan 140.000'den fazla klinik ve arka ofis personelinin verilerini çaldığını iddia etti ve bunları “yakında” yayınlamakla tehdit etti. Standart uygulama olduğu gibi, çalıntı olduğu iddia edilen bazı eşyaları da kanıt olarak yayınladı. Bu küçük veri dökümünün, tıbbi raporlar ve hastalara gönderilen mektuplar da dahil olmak üzere hassas bilgileri içerdiği anlaşılmaktadır.
Güneybatı İskoçya'daki topluluklara hizmet veren NHS Dumfries ve Galloway, ilk olarak 15 Mart'ta “odaklı ve devam eden” bir siber saldırıya kurban gittiğini kabul etti ve bu noktada İskoçya Polisi, İskoç hükümeti ve İskoçya Hükümeti dahil olmak üzere çeşitli kurumlarla iletişime geçti. İngiltere'nin Ulusal Siber Güvenlik Merkezi (NCSC).
O sırada ön hat hizmetlerinde bir miktar kesinti olabileceğini söyledi ve saldırganların hassas verileri çalmış olabileceği riskini kaydetti.
Yeni bir güncellemede NHS Dumfries ve Galloway, sistemlerine yapılan saldırının ardından “az sayıda hastaya” ilişkin klinik verilerin yayınlandığının farkında olduklarını söyledi. NHS Dumfries ve Galloway CEO'su Jeff Ace, “Bu suç eyleminin bir parçası olarak gizli hasta verilerinin yayınlanmasından kesinlikle üzüntü duyuyoruz” dedi. “Bu bilgi, bilgisayar korsanları tarafından, bunların ellerinde olduğunu kanıtlamak amacıyla yayınlandı… Hastalara yönelik hizmetler, normal şekilde etkin bir şekilde çalışmaya devam ediyor.”
Kendisi, NHS Dumfries ve Galloway'in, verilerinin sızdırıldığı bilinen hastalara ulaşacağını ve verilerin paylaşılmasını sınırlamak için çalışmaların devam ettiğini söyledi.
Ace, “NHS Dumfries ve Galloway, bu gelişmenin verileri yayınlanan hastalar üzerindeki potansiyel etkisinin ve hasta popülasyonumuzda ortaya çıkabilecek genel kaygının son derece farkındadır” dedi.
En çok saldırıya uğrayan sektör
Check Point'in tehdit istihbaratına göre, birçok fidye yazılımı çetesinin bu tür kuruluşlara saldırmadıkları yönündeki övünmelerine rağmen, sağlık hizmetleri Birleşik Krallık'ta siber suçluların en çok hedef aldığı üçüncü sektör. Bu apaçık bir yalan.
Kritik bakım hizmetlerine yönelik siber saldırıların ne kadar yıkıcı olabileceği göz önüne alındığında, NHS'deki başarılı ihlallerin diğer sektörlere göre çok daha etkili olduğu, bunun da sağlık hizmetinin çeşitli bileşenlerinin oyunlarının zirvesinde olması gerektiği anlamına geldiği belirtildi.
2022 yılına kadar NHS İskoçya'nın CISO'su olan ve aynı zamanda İskoçya Ulusal Siber Dayanıklılık Danışma Kurulu'nda (NCRAB) yer alan Check Point küresel baş bilgi güvenliği sorumlusu (CISO) Deryck Mitchelson şunları söyledi: “Sağlık hizmetleri, siber suçlular için mükemmel bir avlanma alanıdır. Birçok farklı eski ve daha yeni teknolojiden oluşan geniş bir saldırı yüzeyine sahiptir ve geniş bir üçüncü taraf tedarikçi ağına güvenmektedir. Hizmetlerin ölçeği ve karmaşıklığı, veriler sızdırılana veya şifrelenene ve kritik hizmetler etkilenene kadar bunun gibi bir ihlalin tespit edilmesini çok zorlaştırıyor.
“Karmaşıklığı ortadan kaldıran, güvenlik ürünleri ve kontrollerin sayısını azaltan bütünsel bir siber güvenlik stratejisine ihtiyaç var” dedi. “Önemli maliyet tasarruflarına ek olarak bu, gelişmiş gerçek zamanlı görünürlük ve önleyici bir güvenlik katmanı sunarak benzer bir saldırı olasılığını azaltacaktır. Böyle bir değişikliği benimsemediğimiz takdirde, en kritik ve hassas hizmetlerimizde büyük aksamalar görmeye devam edeceğimizden korkuyorum.”
Inc Fidye
Inc Ransom, ALPHV/BlackCat ve LockBit gibi şirketlere karşı son dönemde kolluk kuvvetleri tarafından başlatılan eylemlerin bıraktığı boşluğu dolduruyor gibi görünen, ortaya çıkan bir dizi fidye yazılımı operasyonu arasında yer alıyor. İlk olarak Temmuz 2023'te ortaya çıktı ve standart bir çifte şantaj uygulaması yürütüyor; ancak şimdilik hizmet olarak fidye yazılımı modelinden uzak duruyor gibi görünüyor. Teknik açıdan bilgili bir işlemdir ve LockBit gibi sıfır gün güvenlik açıklarından heyecanla yararlanır.
Inc Ransom, 2024'te şu ana kadar 20 kurbanın ismini vererek sağlık ve eğitim sektörlerindeki saldıran kuruluşları destekleme eğilimindeydi.
Check Point araştırmacısı ve yazılım mühendisi Liad Dadash, grubun NHS İskoçya'ya saldırdığı yönündeki iddiaların incelenmeye değer olduğunu söyledi.
“26 Mart'ta Inc Ransom tarafından kamuoyuna açıklanan siber saldırının, NHS Dumfries ve Galloway'de devam eden bir soruşturmayla ilişkili olduğu bildirildi” dedi. “Bildiğimiz şey, siber suçluların elindeki belgelerin çoğunun aynı kökene sahip olduğu ve fidye yazılımı grubunun iddialarına güvenilirlik kattığıdır.”