ABD’nin en büyük özel sağlık sistemlerinden biri olan Ascension, Mayıs ayında Black Basta fidye yazılımı operasyonuyla bağlantılı bir siber saldırıda 5,6 milyondan fazla hasta ve çalışana kişisel ve sağlık verilerinin çalındığını bildiriyor.
Sağlık ağı, 2023’te toplam 28,3 milyar dolar gelir bildirdi ve Amerika Birleşik Devletleri’nde 140 hastane ve 40 yaşlı bakım tesisi işletiyor.
Şirket artık veri ihlali bildirimlerini etkilenen 5.599.699 kişiye Amerika Birleşik Devletleri Posta Servisi aracılığıyla gönderiyor. 19 Aralık Perşembe gününden itibaren Ascension, etkilenen kişilere CyberScan izleme ve 1.000.000 dolarlık sigorta geri ödeme politikası da dahil olmak üzere 24 ay boyunca ücretsiz IDX kimlik hırsızlığı koruma hizmetleri sunuyor.
Ascension, 8 Mayıs saldırısını tespit ettikten sonra kolluk kuvvetlerine ve CISA ve FBI gibi hükümet ortaklarına ihlal konusunda bilgi verdiğini söyledi.
Ascension, ihlal bildirim mektuplarında “Yetkisiz aktiviteyi tespit ettikten sonra, önde gelen siber güvenlik uzmanlarının yardımıyla bir soruşturma başlattık” dedi. “Bu soruşturma sonucunda, 7 ve 8 Mayıs tarihlerinde bir siber suçlunun hastalarımızın ve çalışanlarımızın kişisel bilgilerini içeren belirli dosyaların bir kopyasını ele geçirdiğine dair kanıt bulduk.”
İhlalden bu yana Ascension’ın araştırması, çalınan dosyalardan bazılarının hastaların ve çalışanların adlarını ve aşağıdaki kategorilerden bir veya daha fazlasına ilişkin bilgileri içerdiğini ortaya çıkardı (açıkta kalan bilgilerin türü kişiden kişiye değişir):
- Tıbbi kayıt numaraları, hizmet tarihleri, laboratuvar testi türleri veya prosedür kodları gibi tıbbi bilgiler,
- Kredi kartı bilgileri veya banka hesap numaralarını içeren ödeme bilgileri,
- Medicaid/Medicare kimliklerini, poliçe numaralarını veya sigorta taleplerini içeren sigorta bilgileri,
- Sosyal Güvenlik numaraları, vergi kimlik numaraları, sürücü belgesi numaraları veya pasaport numaraları dahil olmak üzere resmi kimlik bilgileri,
- Ve doğum tarihleri veya adresler gibi diğer kişisel bilgiler.
Olayın ardından Ascension, fidye yazılımı ihlalinin bir çalışanın şirket cihazına kötü amaçlı bir dosya indirmesinden kaynaklandığını ortaya çıkardı. Ancak çalışanın yasal bir dosya indirdiğini düşünmesi göz önüne alındığında bunun muhtemelen “dürüst bir hata” olduğuna inanıyor.
Fidye yazılımı saldırısı, Ascension’ın MyChart elektronik sağlık kayıt sistemini, telefonlarını ve test, prosedür ve ilaç sipariş etme sistemlerini etkiledi. Ayrıca sağlık devini, başlangıçta “siber güvenlik olayı” olarak tanımladığı olayı kontrol altına almak için 8 Mayıs’ta bazı cihazları çevrimdışına almaya zorladı.
Olayın ardından Ascension çalışanları, artık hastaların elektronik kayıtlarına erişemedikleri için prosedürleri ve ilaçları kağıt üzerinde takip etmek zorunda kaldı. Şirket ayrıca acil olmayan bazı prosedürleri, testleri ve randevuları duraklatmak ve triyaj gecikmelerini önlemek için acil tıbbi hizmetleri diğer sağlık birimlerine yönlendirmek zorunda kaldı.
Sağlık devi, Mayıs saldırısını henüz bir fidye yazılımı operasyonuyla ilişkilendirmemiş olsa da, CNN olayla Black Basta siber suç çetesini ilişkilendirdi (fidye yazılımı grubu henüz Ascension’ı veri sızıntısı sitesine eklemedi). İhlalden günler sonra Sağlık Bilgi Paylaşımı ve Analiz Merkezi (Health-ISAC) de Black Basta’nın “son zamanlarda sağlık sektörüne yönelik saldırıları hızlandırdığı” konusunda uyardı.
Operasyonun Nisan 2022’de ortaya çıkmasından bu yana Black Basta, aralarında Alman savunma yüklenicisi Rheinmetall, dış kaynak kullanan dev Capita, ABD hükümetinin yüklenicisi ABB ve Toronto Halk Kütüphanesi’nin de bulunduğu birçok yüksek profilli kurbanın ağını ihlal etti.
Elliptic ve Corvus Insurance’ın ortak araştırması, fidye yazılımı çetesinin Kasım 2023’e kadar 90’dan fazla kurbandan 100 milyon doların üzerinde para topladığını gösteriyor.