İhlal Bildirimi, Sağlık Hizmetleri, Sektöre Özel
Mayıs Saldırısının Sorumluluğunu Alphv/BlackCat Üstlendi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
11 Aralık 2023
Kentucky merkezli bir hastane zinciri, milyonlarca kişiye, yedi ay önce tespit edilen bir saldırıda bilgilerinin potansiyel olarak çalındığını bildiriyor. Şu anda kendi operasyonel kesintilerini yaşadığı bildirilen Rusça konuşan hizmet olarak fidye yazılımı grubu Alphv/BlackCat’in, Mayıs ayında veri hırsızlığından pay aldığı iddia ediliyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Kentucky ve Indiana’da sekiz hastane işleten kar amacı gütmeyen bir sağlık sistemi olan Norton Healthcare, Cuma günü Maine başsavcılığına sunduğu bir ihlal raporunda fidye ödemediğini söyledi.
Norton Healthcare sözcüsü, Information Security Media Group’a, kuruluşun BlackCat’in saldırıdan sorumlu olup olmadığını doğrulayamayacağını ancak grubun pay aldığını doğruladığını söyledi.
Norton, Maine düzenleyicilerine, bilgisayar korsanlığı olayının 2,5 milyon mevcut ve eski hasta ve çalışanın yanı sıra, 385 Maine sakini de dahil olmak üzere onların bakmakla yükümlü oldukları kişileri ve hak sahiplerini etkilediğini söyledi.
Kuruluş daha önce Temmuz ayında olayın 501 kişiyi etkilediğini federal düzenleyicilere bildirmişti; bu, o zaman için yer tutucu bir tahmindi (bkz.: Toplu Dava Avukatları Büyük Sağlık İhlallerini Çevreliyor).
Raporunu Sağlık ve İnsani Hizmetler Bakanlığı’na sunduktan sonraki birkaç gün içinde, diğer iddiaların yanı sıra kuruluşun ihlali önlemedeki başarısızlığı iddiasıyla Norton’a karşı federal mahkemede en az bir toplu dava önergesi açıldı.
Norton’un uzun süredir hastası ve eski çalışanı olarak tanımlanan davacı Lanisha Malone tarafından ABD Batı Kentucky Bölgesi – Louisville Bölümü Bölge Mahkemesine sunulan bu şikayet, Ekim ayı sonlarında hiçbir önyargı olmaksızın gönüllü olarak reddedildi.
Malone’un davasında, çalıntı verilerin fidye yazılımı grubu BlackCat’in web sitesine sızdırıldığını iddia eden çok sayıda medya raporuna atıfta bulunuldu.
Davada Malone’u temsil eden avukatlar, ISMG’nin işten çıkarılma ve Norton ihlali davasındaki son gelişmelere ilişkin yorum talebine hemen yanıt vermedi.
Pazartesi itibarıyla Norton, veri ihlaliyle ilgili olarak Kentucky’deki Jefferson County Çevre Mahkemesinde açılan en az bir davayla karşı karşıya kalacak gibi görünüyor.
ISMG’ye yaptığı açıklamada Norton sözcüsü, konuyla ilgili halen devam eden bir davanın olduğunu doğruladı ancak daha fazla yorum yapmaktan kaçındı. Kuruluşun ağ güvenliği önlemlerini geliştirmek için önlemler aldığını söyledi.
İhlal Ayrıntıları
Norton, Maine düzenleyicilerine sunduğu raporda, 9 Mayıs’ta bir siber güvenlik olayı yaşadığını keşfettiğini ve bunun daha sonra bir fidye yazılımı saldırısı olduğunun belirlendiğini söyledi. Kuruluş, FBI’a bilgi verdiğini ve dışarıdan bir hukuk müşaviri ve adli güvenlik firmasının yardımıyla olayı araştırmaya başladığını söyledi.
Soruşturmaya dayanarak Norton, yetkisiz bir aktörün 7 Mayıs ile 9 Mayıs arasında belirli ağ depolama cihazlarına erişebildiğini ancak Norton Healthcare’in tıbbi kayıt sistemine veya Norton MyChart hasta portalına erişmediğini tespit etti.
Norton, Mayıs ve Kasım 2023 arasında olayın kapsamını analiz etmek ve hangi kişilerin ve veri türlerinin etkilendiğini belirlemek için potansiyel olarak sızdırılmış belgeleri incelemek için çalıştığını söyledi. Norton, bu sürecin “zaman alıcı olduğunu” ve incelemenin Kasım 2023 ortasına kadar tamamlanmadığını söyledi.
Potansiyel olarak ele geçirilen veri türleri arasında isim, iletişim bilgileri, Sosyal Güvenlik Numarası, doğum tarihi, sağlık bilgileri, sigorta bilgileri ve tıbbi kimlik numaraları yer alıyor.
Norton, “Bazı durumlarda veriler aynı zamanda ehliyet numaralarını veya diğer resmi kimlik numaralarını, mali hesap numaralarını ve dijital imzaları da içerebilir” dedi.
Norton, etkilenen kişilere 24 ay boyunca ücretsiz kredi ve kimlik izleme olanağı sunuyor. Kuruluş, sistemlerini 10 Mayıs’ta güvenli yedeklerden geri yüklemeye başladığını söyledi.
Bildirimde, “Norton Healthcare, ağları geri yüklendiğinden bugüne kadar herhangi bir ek tehlike belirtisi tespit etmedi” denildi.
BlackCat Kredi Aldı
Mayıs ayında, Norton başlangıçta olaya müdahale ederken, aralarında Kentucky’deki WDRB’nin de bulunduğu bazı medya kuruluşları, BlackCat’in çalışan ve hasta verilerini karanlık web sitesinde sızdırdığını bildirmişti. BlackCat’in sızdırdığını iddia ettiği 4,7 terabaytlık veri, çalışanların adlarını, Sosyal Güvenlik numaralarını ve doğum tarihlerinin yanı sıra hastaların kişisel bilgilerini, kredi kartı numaralarını ve tıbbi geçmişini içeriyordu.
Norton şu anda olaydan etkilenen milyonlarca kişiyi bilgilendirmekle uğraşırken, BlackCat’in de kendi sorunlarıyla uğraştığı bildiriliyor.
Alphv/BlackCat’in veri sızıntısı sitesi ve Tox eşler arası anlık mesajlaşma hesabı Perşembe gününden beri çevrimdışı durumda ve bazı araştırmacılar kapatmanın kolluk kuvvetlerinin eylemi nedeniyle gerçekleştiğine inanıyor (bkz.: Fidye Yazılımı Grubu Çevrimdışı: Polis Alphv/BlackCat’i Ele Geçirdi mi?).
Alphv/BlackCat, Ocak ayında HHS’nin Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi tarafından bir uyarıya konu oldu (bkz.: BlackCat, Kraliyet Sağlık Hizmetlerine Yönelik En Endişe verici Tehditlerden Biri).
Geçen yıl LockBit yine herhangi bir gruba bağlı bilinen saldırıların en büyük sayısını (tüm kurban listelemelerinin %25’ini) oluştururken, BlackCat listelerin %11’ini oluşturarak ikinci oldu ve Cisco Talos’un raporuna göre sağlık hizmetleri en çok hedeflenen sektör olmaya devam etti. 30 Eylül’de sona eren 12 aylık dönemi kapsayan siber suç ve siber saldırı eğilimlerinin yıllık incelemesi.