3. Taraf Risk Yönetimi, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi
Bazı Araştırmacılar ConnectWise ScreenConnect Kusurunun Saldırılarda Kullanıldığından Emin
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
26 Şubat 2024
Aralarında Sağlık Bilgi Paylaşım ve Analiz Merkezi ile Amerikan Hastaneler Birliği’nin de bulunduğu sektör grupları, Optum’un bir birimi olan Change Healthcare’e geçen hafta yaşanan siber saldırı sonrasında üyelerini önlem almaya çağırıyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Bu uyarılar, tehdit istihbarat şirketi RedSense’tekiler de dahil olmak üzere bazı güvenlik araştırmacılarının son günlerde Change Healthcare olayını ConnectWise’ın uzaktan erişim aracı ScreenConnect’teki CVE-2024-1708 ve CVE-2024-1709 güvenlik açıklarının açık bir şekilde istismar edilmesinden sorumlu tutmasıyla geldi.
Ancak Pazartesi günü ConnectWise, hafta sonu Information Security Media Group’a sunduğu beyanı yineleyerek Change Healthcare olayı ile ScreenConnect güvenlik açıkları arasındaki bağlantıyı reddetti.
ConnectWise, “Şu anda ScreenConnect’teki güvenlik açığı ile Change Healthcare tarafından bildirilen olay arasında herhangi bir doğrudan bağlantıyı doğrulayamıyoruz” dedi.
ConnectWise, “İlk incelememiz, Change Healthcare’in ConnectWise’ın doğrudan müşterisi olmadığını gösteriyor ve yönetilen hizmet sağlayıcı ortaklarımızdan da Change Healthcare’in onların müşterisi olduğunu gösteren herhangi bir rapor almadık” dedi.
ConnectWise Pazartesi günü ISMG’ye şunları söyledi: “Bu konuları ciddiye aldığımızı ve ScreenConnect güvenlik açığıyla ilgili bilgileri paylaşmaya kararlı olduğumuzu vurgulamak istiyoruz. Bu durumu etkili bir şekilde ele almak için toplulukla ve CISA gibi devlet kurumlarıyla aktif olarak işbirliği yapıyoruz.”
ConnectWise’ın iddiasına rağmen RedSense aksini iddia ediyor.
RedSense’in kurucu ortağı ve baş araştırma görevlisi Yelisey Bohuslavskiy Pazartesi günü ISMG’ye şunları söyledi: “Elimizdeki her SIGINT göstergesi, bunun ConnectWise ScreenConnect güvenlik açığından yararlanıldığına inanmamıza neden oluyor.”
“ConnectWise’ın bunu reddettiğini biliyorum; ancak olayla ilgili tüm bilgiler sınırlı olduğunda ilk erişimler konusunda aynı fikirde olmamak doğaldır” dedi. Change Healthcare, ConnectWise’ın doğrudan müşterisi olmasa bile, “Üçüncü taraf ağlar aracılığıyla müşterilerin olması mümkün. ConnectWise ScreenConnect geniş bir çerçevedir” dedi.
Sektör Uyarıları
Hafta sonu boyunca AHA, Change Healthcare saldırısıyla ilgili güncellenmiş bir danışma belgesinde, sağlık sektörü kuruluşlarının, geçen hafta CISA tarafından ScreenConnect’teki kimlik doğrulama atlama güvenlik açığının “aktif” olduğu uyarısı da dahil olmak üzere federal yetkililer tarafından yapılan önceki ScreenConnect uyarılarını dikkate almasını önerdi. sömürülen.
Pazartesi günü yayınlanan bir tavsiye niteliğindeki H-ISAC, Change Healthcare’in yakın zamanda istismar edilen ConnectWise ScreenConnect güvenlik açıklarının kurbanları arasında potansiyel olarak yer aldığını iddia eden güvenlik araştırma raporları ışığında sağlık sektörünün dikkatli kalmasını tavsiye etti.
H-ISAC, “Olay hala araştırıldığı için saldırının ayrıntılarını doğrulamak mümkün değil” dedi. “Change Healthcare’de ne olursa olsun, RedSense, ScreenConnect istismarının yürütülmesinin oldukça önemsiz olması nedeniyle daha fazla kuruluşun tehlikeye gireceğini öngörüyor.”
H-ISAC’ın güvenlik şefi Errol Weiss, Pazartesi günü ISMG’ye verdiği demeçte, H-ISAC’ın ScreenConnect güvenlik açıklarından yaygın şekilde yararlanıldığına dair raporları zaten aldığını söyledi. “Hangi sektörde olduklarına bakılmaksızın tüm kuruluşlara, ScreenConnect kullanıyorlarsa ConnectWise tavsiyelerine hemen uymaları konusunda çağrıda bulunuyoruz.”
H-ISAC, uyarısında, ortamlarında ConnectWise ScreenConnect kullanan kuruluşlara, uzlaşma göstergeleri ve tavsiyelerin bir listesini yakından izlemelerini tavsiye etti.
Örneğin H-ISAC, atomik IOC’lerin, bunlara ve diğerlerinden gelen trafiğin uzlaşmaya işaret edebileceğini söyledi:
155.133.5.15
155.133.5.14
118.69.65.60
118.69.65.61
207.148.120.105
192.210.232.93
159.203.191.1
Yaygın Bozulma
Optum Pazartesi günü yaptığı bir durum güncellemesinde kesintinin hala 117 Change Healthcare uygulamalarını veya bileşenlerini etkilediğini söyledi.
Bu arada Change Healthcare olayı, askeri klinik, hastane eczaneleri ve perakende eczaneler de dahil olmak üzere sağlık ekosisteminde çeşitli aksaklıklara neden oluyor.
Buna bazı CVS eczaneleri ve diğer birimler de dahildir. CVS, Pazartesi günü ISMG’ye yaptığı açıklamada, “Change Healthcare’in belirli CVS Health iş operasyonlarının yanı sıra diğer ulusal şirketlerin operasyonlarını da etkileyen bir ağ kesintisi yaşadığının farkındayız.” dedi.
“CVS Health’in sistemlerinin tehlikeye girdiğine dair hiçbir belirti yok. Bu kesintiyi atlatırken bakıma erişimi sağlamaya kararlıyız. Hizmet kesintisini en aza indirmek ve müşterilerimizden ve üyelerimizden herhangi bir rahatsızlıktan dolayı özür dilemek için iş sürekliliği planlarımız var. yaşayabilirsiniz” dedi CVS.
“Reçeteleri doldurmaya devam ediyoruz ancak bazı durumlarda, iş sürekliliği planımızın hastaların ilaçlarına erişmeye devam etmesini sağlamak amacıyla ele aldığı sigorta taleplerini işleme alamıyoruz.”
Bazı Rite Aid eczane mağazaları da Change Healthcare olayından etkilendi.
Bir Rite Aid sözcüsü Pazartesi günü ISMG’ye verdiği demeçte, “Rite Aid taleplerinin yalnızca küçük bir yüzdesi kesintiden etkilendi. Bu taleplerin çoğunu hasta bakımını kesintiye uğratmadan başka bir faturalandırma mekanizması aracılığıyla başarıyla işleme koyduk.”
AHA, hafta sonu güncellenen tavsiye niteliğindeki raporunda, “hastaneler ve sağlık sistemlerinin, hastaları için bakım izinleri alma konusunda zorluklar ve ödemelerde gecikmeler yaşayabileceğini” kabul ettiğini söyledi.
AHA, Medicare ve Medicaid Hizmetleri Merkezleri de dahil olmak üzere ABD Sağlık ve İnsani Hizmetler Bakanlığı ile “hastaların bakıma zamanında erişimini destekleme ve sağlayıcılara geçici mali destek sağlama seçenekleri hakkında” iletişim halinde olduğunu söyledi.
H-ISAC’dan Weiss, ISMG’ye, Change Healthcare’in geçen hafta şirketin bir siber güvenlik sorunuyla uğraştığını kabul etmesinin ve daha fazla etkiyi önlemek için sistemlerini izole etmesinin ardından bazı sağlık sektörü kuruluşlarının bu habere aşırı tepki gösterdiğini söyledi.
“Maalesef ilerleyen günlerde bazı hastaneler ağlarını koruduklarına inanarak, Change Healthcare ve Optum’un da aralarında bulunduğu UnitedHealth Group ile tüm ağ bağlantılarını kestiler” dedi.
“Hastanelerde daha fazla kesinti yaşandığından, bu durum sorunları daha da artırdı – önceki prosedür izinlerinin kaybı, elektronik reçeteler ve daha fazlası. Bugün, Optum ile ağ bağlantısını sürdürme konusunda daha net bir rehberlikle bu karışıklığı gidermeyi umduk ve daha kapsamlı bir çalışma yürüttük. kapsamlı iş riski analizi.”
HHS, Pazartesi günü güncellenmiş bir e-posta bülteninde sağlık sektörüne H-ISAC’ın Change Healthcare olayı hakkındaki tavsiyesinin yanı sıra ScreenConnect istismarlarının dahil olma ihtimaline değindi.
Geçtiğimiz Perşembe günü yapılan bir uyarıda HHS, siber olayı ve bunun hasta bakımı üzerindeki etkisini değerlendirmek için Optum ile yakın işbirliği içinde çalıştığını söyledi (bkz: Sağlık Hizmetlerinde Siber Kesinti Değişimi Ülke Çapındaki Firmaları Etkiliyor).
UnitedHealth Group’un bir yan kuruluşu olan Optum, Ekim 2022’de Change Healthcare’i 7,8 milyar dolara satın aldı. Olay 21 Şubat’ta erken tespit edildiğinden bu yana olayla ilgili periyodik durum güncellemeleri yayınlanıyor.
Optum, “dış tehdidi” keşfettiğinde, daha fazla etkiyi önlemek için Change Healthcare’in sistem bağlantısını derhal kestiğini söyledi. Optum, “Bu eylem, müşterilerimizin ve ortaklarımızın buna ihtiyaç duymaması için yapıldı. Optum, UnitedHealthcare ve UnitedHealth Group sistemlerinin bu sorundan etkilenmediğine dair yüksek düzeyde güvenimiz var” dedi.
“Etkilenen ortamı geri yüklemek için birden fazla yaklaşım üzerinde çalışıyoruz ve sistemlerimizi tekrar çevrimiçi hale getirirken herhangi bir kısayol kullanmayacak veya ek risk almayacağız. Tüm sistemlerimizde proaktif ve agresif olmaya devam edeceğiz ve herhangi bir sorundan şüphelenirsek, tüm sistemlerimizde proaktif ve agresif olmaya devam edeceğiz. Optum, sistemle ilgili hemen harekete geçeceğiz ve bağlantıyı keseceğiz” dedi.
Optum’un geçen Çarşamba gününden bu yana yaptığı durum güncellemelerinin her biri, kesintinin “en azından gün boyunca sürmesinin beklendiğini” söyledi.
Optum, ISMG’nin olayla ilgili ek ayrıntı talebine hemen yanıt vermedi.
UnitedHealth Group, Perşembe günü geç saatlerde ABD Menkul Kıymetler ve Borsa Komisyonu’na sunduğu bir dosyada, olayın bazı Change Healthcare BT sistemlerine erişim sağlayan “ulus devlet bağlantılı şüpheli bir siber güvenlik tehdit aktörü” ile ilgili olduğunu söyledi.