Fidye yazılımı çetesi Nova hasta verilerini sızdırmaya hazırlandı, laboratuvar müzakerelerde anne kalıyor
Marianne Kolbasuk McGee (Healthinfosec) •
3 Eylül 2025
Fidye yazılımı çetesi Nova ile Darkweb’deki hasta verilerini sızdırmakla tehdit etmekle, bir hükümet tarama programı için serviks kanseri testleri gerçekleştiren bir Hollanda laboratuvarı fidye müzakereleri hakkında anne, ancak Temmuz ayında siber saldırının 941.000 hastayı etkilediğini söylüyor – 485.000 kişinin ilk tahmininin neredeyse iki katı.
Ayrıca bakınız: Ondemand | Eşsiz keşif ve savunma ile API güvenliğini dönüştürün
Bevolkingsonderzoek Nederland veya BVO NL, Hollanda’nın üç tür kanseri – meme, kolon ve servikal – tarama programlarını denetleyen bir araştırma ajansı olan BVO NL, bir açıklamada, klinik teşhis NMDL, programın servikal kanser gösterimlerini gerçekleştiren bir ajansın bilgilendirdiğini bilen laboratuvarın, laboratuvarın bilgilendirdiğini söyledi: Hollanda Kanseri Tarama Laboratuarından Veri Hırsızlığı 485.000’i etkiliyor).
Hizmet olarak fidye yazılımı çetesi Nova ilk olarak Lab’ın çalınan verilerini sızdırmak için karanlık web sitesinde tehdit etmişti. Nova, bazı güvenlik araştırmacılarının Ralord fidye yazılımlarını dosyaları şifrelemek, hassas verileri dışarı atmak ve kurbanları baskı yapmak için çift gasp taktikleri kullanmak için dağıtır.
O zamandan beri, 17 Ağustos ve 22 Ağustos’ta çetenin karanlık sitesindeki yayınlarda Nova, laboratuvarın çalınan verilerinin örneklerinin ötesinde daha fazla sızıntıyı önlemek için ödeme “anlaşmaları” ile ilgili müzakerelerle ilgili klinik teşhis ve Eurofins Scientific ile çekişiyor gibi görünüyordu.
Klinik teşhis 18 Ağustos’ta web sitesinde olayla ilgili olarak saldırganın tehditlerini kabul etti, ancak çeteye isim vermedi.
“Daha önce, saldırganın kopyalanan verileri sızdırmaya devam edeceğine dair hiçbir göstergemiz olmadığını belirtmiştik. Saldırganın bir kez daha kopyalanan verileri sızdırmakla tehdit ettiği gerçeğinin farkındayız. Bu yeni gelişme dikkatimiz var. Daha önce belirtildiği gibi, belirli ayrıntılar hakkında daha fazla bilgi sağlayamayız.”
Nüfus taraması Hollanda, 2017’den bu yana hack olayı hakkında “verileri laboratuvarla paylaşılan” tüm hastaları bilgilendirmeye karar verdi ve “klinik teşhis bunun veri ihlalinin tam kapsamı olduğunu doğrulayamayacağını” da sözlerine ekledi.
Diyerek şöyle devam etti: “Bunun serviks kanseri taramasındaki katılımcılar için çok hoş olmayan bir mesaj olduğunu anlıyoruz. Bunun gerçekleştiği için çok üzgünüz. Bunu şimdi iletiyoruz çünkü katılımcılar olası kimlik avı ve sahtekarlığı dikkate almalı.”
Nüfus taraması Hollanda, klinik teşhislere ek olarak, ajansın hackten etkilenmeyen diğer laboratuvarlarla serviks kanseri taramaları yapmak için çalıştığını söyledi.
Klinik Diagnostics ve Eurofins, Bilgi Güvenliği Medya Grubu’nun Nova’nın iddiaları hakkında yorum yapma taleplerine ve saldırı olayıyla ilgili diğer ayrıntılara hemen cevap vermedi.
Breach Detayları
Web sitesindeki olayla ilgili bildirimdeki klinik teşhisler, korsanlıkta potansiyel olarak tehlikeye atılan bilgilerin isim, cinsiyet, doğum tarihi, adres, inceleme ve test sonuçlarının türü, Vatandaş Hizmet Numarası – veya BSN, başvuru sahibinin ayrıntıları ve sağlık sigortacısının adını içerdiğini söyledi (bakınız: bkz: bkz: ISMG Editörleri: Dutch Lab Hack, Healthcare Güvenlik Boşluklarını Gösteriyor).
Lab, “Hollanda’daki tanınan sağlık hizmeti sağlayıcıları yasal olarak hastalarının BSN’sini kaydetmek ve depolamak zorunda kalıyor. BSN’yi hastalar hakkında veri alışverişinde kullanıyorlar. Bu yüzden BSN de klinik teşhislerde sızıntıdaydı.” Dedi.
Bilgisayar korsanları, her ikisi de Rijswijk’te bulunan Klinik Diagnostics NMDL ve Klinik Diagnostics LCPL’nin bir kısmına yetkisiz erişim elde ettiğini söyledi. Lab, “Bu olaydan klinik teşhis ağındaki başka laboratuvarlar etkilenmedi.” Dedi.
“Hızlı tespit ve müdahaleye rağmen, BT ortamının bu bölümünde depolanan hastaların ve yönlendiricilerin kişisel verilerine erişimin kazanıldığını biliyoruz. Bazı kişisel veriler de kopyalandı.”
Laboratuar ayrıca Hollanda’nın kamu kovuşturma hizmetinin olayla ilgili bir soruşturma başlattığını söyledi.
Göreceli yeni gelen
Siber suçlu çeteleri ve saldırılarını izleyen bir blog olan Fidyeware.Live, grup ilk Nisan 2025’te ortaya çıkmasından bu yana 37 Nova kurbanını sayıyor.
Rapid7 güvenlik araştırmacısı Jeremy Makowski, “Nova, Ralord fidye yazılımı ailesi etrafında inşa edilen finansal olarak motive olmuş bir fidye yazılımı operasyonu olarak ortaya çıktı.” Dedi. “Grubun TTP’leri olgun bir RAAS modeli gösterirken, IOC’leri savunuculara tespit için eyleme geçirilebilir puanlar sunuyor.”
Nova’nın şifrelemeleri pasla yazılmış ve “.alord” veya “.rnova” gibi uzantılarla dosyaları geride bırakarak, “ReadMe-Nova” etiketli fidye notlarının yanı sıra.
Grup, kurbanları Tox veya oturum gibi özel haberciler aracılığıyla onlarla iletişime geçmeye yönlendiriyor, çünkü geleneksel sabit ödeme talimatları sağlamak yerine ödeme müzakere etmeyi tercih ediyorlar. Diyerek şöyle devam etti: “Kamusal kurban listelerinden, Nova’nın sağlık, BT, imalat, telekom, eğitim ve inşaat da dahil olmak üzere birçok sektördeki kuruluşları fırsatçı ve küresel bir odak gösterdiğini hedeflediğini de görebiliriz.”
Makowski, “Nova gelişen bir soydaki en son markadır, bu yüzden tamamen yeni bir aktör değil. Grup, eski RA grubunun halefi veya dalı olarak kabul edilen Ralord fidye yazılımlarını işletiyor.” Dedi.
Nova, muhtemelen Ralord’un ana operatörü ya da geliştirme ve bağlı kuruluş programına devam eden bir yeniden markalama girişimi olduğunu söyledi.
“Grup, operasyonlarını klasik bir RAAS teşvik sistemi ile yapılandırdı, iştiraklere fidye gelirlerinin bir yüzdesi sunarak diğer suç örgütlerinin yaklaşımını yansıtıyor.”
Makowski, şimdiye kadar Nova’nın bir ulus devletle bağlantılı olduğuna dair güvenilir bir kanıt olmadığını söyledi. “Grubun altyapısı ve iletişiminin bir kısmı Rusça konuşan özellikleri önerebilirken, bu, devlet destekli olduğu sonucuna varmak için yetersizdir. Bunun yerine Nova, gasp yoluyla kâr odaklanmış bir suç girişimine uyuyor.”
Tıbbi Laboratuar Saldırıları
Makowski, Hollanda klinik test laboratuvarındaki siber saldırının dünya çapında tıp laboratuvarlarının karşılaştığı önemli siber riskleri vurguladığını söyledi.
“Laboratuvarlar için dersler açıktır” dedi. İlk olarak, veri hırsızlığının gerçekleşeceğini ve bölümlere ayrılmış ağlar, katı erişim kontrolleri, saldırı ve veri açığa çıkma girişimlerinin hızlı bir şekilde tespiti yoluyla buna göre planlanacağını varsaymalıdırlar.
İkincisi, tıbbi laboratuvarların verileri ve düzenleyici değerleri nedeniyle özellikle savunmasız olduklarını kabul etmeleri çok önemlidir ve bu da onları gasp için birincil hedefler haline getirir.
“Nova tipi saldırılara karşı esneklik oluşturmak, internete bağlı sistemleri güvence altına almak, anormal veri akışlarını izlemek, laboratuvar enstrümanlarının izolasyonu ve şeffaflık ve iyileşme için organizasyonel hazırlık için teknik savunmalar gerektirir.”