Dolandırıcılık Yönetimi ve Siber Suç, Sağlık, Sektöre Özel
Young Consulting Sağlık Verilerinin Açığa Çıktığını Söyledi; Fidye Yazılımı Grubu Çalınan Verileri Sızdırdı
Mathew J. Schwartz (euroinfosec) •
27 Ağustos 2024
İnsanların sağlık verileriyle çalışan Atlanta merkezli bir yazılım geliştiricisi, yaklaşık 1 milyon kişiye bu yılın başlarında saldırganlar tarafından kişisel bilgilerinin çalındığını bildiriyor. BlackSuit adlı bir fidye yazılımı grubu saldırının sorumluluğunu üstlendi ve çalınan verileri sızdırdı.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditleri Ele Almanın Sınırlarını Aşmak: Gerçek Güvenlik Zorlukları İçin Gerçek Çözümler
Young Consulting, pazartesi günü yayınladığı raporda, Blue Shield of California adına 954.177 kişiye kişisel bilgilerinin çalındığı yönünde bildirimde bulunduğunu bildirdi.
Ortaya çıkan bilgiler arasında kişinin adı, doğum tarihi, Sosyal Güvenlik numarası, sigorta poliçesi ve talep bilgileri yer aldı.
Young Consulting, taşıyıcıların, brokerların ve üçüncü taraf yöneticilerin tıbbi stop-loss sigortasını pazarlamasına, sigortalamasına ve yönetmesine yardımcı olmak için tasarlanmış yazılımlar geliştirir. Bu tür sigorta, bir işletme üzerinde felaket etkisi yaratabilecek beklenmeyen kayıplara karşı koruma sağlar. Genellikle ABD kuruluşları, çalışan fayda planlarını kendi kendilerine finanse ettiklerinde ancak sigorta planları kapsamında belirtilen muafiyetleri aşan kayıplar için oluşan yükümlülüğün %100’ünü karşılamak istemedikleri zaman satın alınır.
Danışmanlık şirketi, “ilk olarak 13 Nisan’da bilgisayar ortamımızdaki teknik zorlukların farkına vardıklarını”, ardından birden fazla sistemi çevrimdışı bırakarak “olayın niteliğini ve kapsamını belirlemek için” üçüncü taraf bir dijital adli bilişim şirketini devreye soktuklarını söyledi.
Araştırmacılar saldırının 10 Nisan’da başladığını ve 13 Nisan’a kadar sürdüğünü tespit etti. Bu süre zarfında saldırganlar Young Consulting’in ağından veri çaldı.
Şirket, çalınan verileri inceleyerek hangi kişisel bilgilerin ifşa edilmiş olabileceğini belirledi ve bu bilgileri 28 Haziran’da Blue Shield ile paylaştı. “Daha sonra, bildirimde bulunabilmemiz için potansiyel olarak etkilenen kişiler için uygun iletişim bilgilerini belirlemek için çalıştık” dedi.
Şirket Pazartesi günü mağdurları bilgilendirmeye başladı. HIPAA İhlal Bildirim Kuralı uyarınca, düzenlenen kuruluşlar, bir HIPAA ihlalinin keşfedilmesinden itibaren en geç 60 gün içinde etkilenen bireyleri bilgilendirmeli ve ihlal 500 veya daha fazla bireyi etkiliyorsa olayı aynı zaman dilimi içinde HHS Sivil Haklar Ofisi’ne bildirmelidir.
Young Consulting, internet sitesinde yer alan “veri gizliliği etkinliği duyurusu” gönderisinde, “Bakımımızdaki bilgilerin gizliliğine yönelik devam eden bağlılığımızın bir parçası olarak, gelecekte böyle bir şeyin yaşanmasını önlemek amacıyla hassas bilgilerin depolanması ve erişilmesiyle ilgili politikalarımızı, prosedürlerimizi ve süreçlerimizi gözden geçiriyoruz” dedi.
Fidye Yazılımı Grubu Mağdurunu Talep Ediyor
BlackSuit, 7 Mayıs’ta veri sızıntısı sitesinde Young Consulting’i mağdurlar arasında göstererek, pasaportların kopyaları ve tıbbi sonuçlar da dahil olmak üzere çeşitli iş verileri ve çalışan verilerinin yanı sıra finansal veriler ve paylaşımlı ağ sürücülerinde depolanan diğer verileri çaldığını iddia etti.
Fidye yazılımı grupları, mevcut ve gelecekteki kurbanları ödeme yapmaya zorlamak için veri sızıntısı siteleri çalıştırır ve genellikle giderek saldırganlaşan tehditler eşlik eder. Her zamanki gibi, gaspçılar kurban fidye ödemezse çalınan verileri sızdırmakla tehdit eder.
“Üst yönetim, blöf yaptığımızı düşünerek müzakere etmeyi tamamen reddetti,” diye yazdı grup ve ödeme yapılmadığı takdirde 72 saat içinde veri sızdırmakla tehdit etti. “İş ortakları ve çalışanlar – unutmayın, Young Consulting yönetimi sizin veya kişisel bilgilerinizin umurunda değil.”
BlackSuit’in önceki kurbanları arasında, 2023 ortalarında kamu hizmetlerini aksatan Dallas şehri saldırısı da yer alıyor. Haziran ortasında, suçlular otomobil bayiliği yazılım çözümleri devi CDK Global’i vurdu.
Blockchain analitik firması TRM Labs, Haziran ayında BlackSuit’e ödenen 387 bitcoin’lik fidye ödemesini -o zamanlar yaklaşık 25 milyon dolar değerindeydi ve şu anda tarihin bilinen en büyük üçüncü fidye yazılımı ödemesiydi- takip etti, ancak göndereni tanımlamadı. Olayı izleyen diğer üç kaynak CNN’e ödemenin arkasında CDK’nin göründüğünü söyledi (bkz: Fidye Yazılımları Tekrar Rekor Kıran Karlara Ulaşma Yolunda).
Güvenlik uzmanları BlackSuit’in Rusça konuşan Conti fidye yazılımı grubunun bir kolu olduğunu söylüyor. Conti’nin iç iletişimlerinin sızdırılanlarına göre, siber suç örgütü yaklaşık 200 çalışanı olan normal bir işletme gibi yönetiliyordu. Conti, liderlerinin Rusya Devlet Başkanı Vladimir Putin’in Ukrayna’ya karşı topyekün fetih savaşını destekleme yönündeki feci kararının ardından 2022’de kapandı ve bu da gelen fidye ödemelerinin kurumasına neden oldu.
ABD’li yetkililere göre, Conti kapanmadan önce farklı isimler altında birden fazla operasyon başlattı; bunların arasında Royal adlı bir grup da vardı ve bu grup kısa sürede üretim, iletişim, eğitim ve özellikle sağlık kuruluşlarını etkilemeye başladı.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, FBI ile birlikte bu ayın başlarında yayınladıkları ortak bir uyarıda, “BlackSuit fidye yazılımı, daha önce Royal fidye yazılımı olarak tanımlanan ve yaklaşık olarak Eylül 2022’den Haziran 2023’e kadar kullanılan fidye yazılımının evrimidir” dedi. “BlackSuit, Royal fidye yazılımıyla çok sayıda kodlama benzerliği paylaşıyor ve gelişmiş yetenekler sergiliyor.”
Grup genellikle 1 milyon ila 10 milyon dolar arasında değişen değerde bitcoin cinsinden ödenen fidyeler talep ediyor. Bir durumda, 60 milyon dolarlık bir başlangıç talebi belirledi, ancak genellikle fiyatlarını düşürmeyi kabul ediyor, dedi CISA.
“BlackSuit, şifrelemeden önce veri sızdırma ve gaspı gerçekleştirir ve ardından fidye ödenmezse kurbanın verilerini bir sızıntı sitesinde yayınlar,” dedi. “Kimlik avı e-postaları, BlackSuit tehdit aktörleri tarafından ilk erişim için en başarılı vektörler arasındadır. BlackSuit aktörleri, kurbanların ağlarına eriştikten sonra antivirüs yazılımını devre dışı bırakır ve nihayetinde fidye yazılımını dağıtıp sistemleri şifrelemeden önce büyük miktarda veri sızdırır.”
CISA, grubun özellikle büyük dosyalar için düzenli olarak kısmi veya aralıklı şifreleme kullandığını ve bunun çok daha hızlı saldırılara olanak sağladığını söyledi (bkz: Strike Force: Fidye Yazılımı Grupları Neden Hıza İhtiyaç Duyuyor?).