Fidye yazılımı saldırıları, sağlık sektöründe benzeri görülmemiş bir ölçeğe ulaştı ve milyonlarca risk altına alan güvenlik açıklarını ortaya çıkardı. Son zamanlarda UnitedHealth, 190 milyon Amerikalının, daha önce açıklanan toplamı neredeyse iki katına çıkaran bir rakam olan Sağlık Sağlık Fidye Yazılımı Saldırısı sırasında kişisel ve sağlık verilerinin çalındığını açıkladı.
Bu ihlal, fidye yazılımlarının kritik sistemlere ne kadar sızabileceğini ve hastanın güvenini ve bakımı dengede asılı bırakabileceğini gösterir.
Bu halihazırda kırılgan sektörü hedefleyen gruplardan biri, kilit fidye yazılımı grubudur. Hesaplanan ve sofistike saldırıları ile tanınan hastanelere, kliniklere ve diğer tıbbi hizmet sağlayıcılara odaklanırlar.
Kilitleme Fidye Yazılımı Grubu: Sağlık Hizmetlerine Aktif Bir Tehdit
Interlock fidye yazılımı grubu, siber suçlar dünyasında, çift uzatma taktikleri kullandığı bilinen nispeten yeni ama tehlikeli bir oyuncudur.
Bu yöntem, bir kurbanın verilerinin operasyonları bozması için şifrelemeyi içerir ve fidye talepleri karşılanmazsa hassas bilgileri sızdırmaz. Birincil motivasyonları finansal kazançtır ve yöntemleri hedefleri üzerindeki baskıyı en üst düzeye çıkarmak için uyarlanmıştır.
Dikkate değer özellikler
- Gelişmişlik: Grup, ilk erişim elde etmek için kimlik avı, sahte yazılım güncellemeleri ve kötü amaçlı web siteleri gibi gelişmiş teknikler kullanır.
- Kalıcılık: Uzun süre tespit edilmeme yetenekleri, neden olabilecekleri hasarı artırır.
- Hızlı dağıtım: Bir ağın içine girdikten sonra, hızlı bir şekilde yanal olarak hareket ederler, hassas verileri çalırlar ve sistemleri şifreleme için hazırlarlar.
- Özel fidye talepleri: Grup, kurbanların ödeyeceği fidye miktarlarını belirlemek için çalınan verilerin değerini dikkatle değerlendirir.
Interlock Fidye Yazılımı Grubu’nun Son Hedefleri
2024’ün sonlarında Interlock, ABD’de çok sayıda sağlık kuruluşunu hedefledi, hassas hasta bilgilerini açığa çıkardı ve operasyonları ciddi şekilde bozdu. Kurbanlar dahil:
- Brockton Mahalle Sağlık Merkezi: Ekim 2024’te ihlal edildi, saldırı yaklaşık iki ay boyunca tespit edilmedi.
- Eski tedavi hizmetleri: Ekim 2024’ün sonlarında tespit edildi.
- Uyuşturucu ve Alkol Tedavi Hizmeti: Uzaklaştırılmış veriler aynı dönemde ortaya çıkar.
Kilitleme Fidye Yazılımı Grubu Saldırı Zinciri
Interlock fidye yazılımı grubu, saldırısına, sürücüden uzlaşma olarak bilinen stratejik ve son derece aldatıcı bir yöntemle başlar. Bu teknik, grubun, genellikle dikkatlice tasarlanmış kimlik avı web siteleri aracılığıyla, şüphesiz kullanıcıları kullanarak hedeflenen sistemlere ilk erişim elde etmesini sağlar.
Fidye Yazılımının İlk Saldırısı
Saldırı, kilit grubu mevcut bir meşru web sitesini tehlikeye attığında veya yeni bir kimlik avı alanını kaydeddiğinde başlar. Bu siteler, haber portalları veya yazılım indirme sayfaları gibi güvenilir platformları taklit ederek güvenilir görünmek için özenle hazırlanmıştır. Siteler, yürütüldüğünde kullanıcının cihazını kötü amaçlı yazılımlarla enfekte eden sahte güncellemeleri veya araçları indirmek için genellikle bağlantılar içerir.
Örnek: RUN’un etkileşimli kum havuzu, Interlock’un etkinliğinin bir parçası olarak işaretlenmiş bir alan ve elma-online.shop tespit etti. İkincisi, kullanıcıları meşru yazılım olarak gizlenmiş kötü amaçlı yazılımları indirmek için kandırmak için tasarlanmıştır.
Bu taktik, kullanıcı şüphesinin başlangıç katmanını etkili bir şekilde atlar, ancak erken tespit ve analizle SOC ekipleri, kötü niyetli alanları hızlı bir şekilde tanımlayabilir, erişimini engelleyebilir ve ortaya çıkan tehditlere daha hızlı yanıt vererek iş operasyonları üzerindeki potansiyel etkiyi azaltabilir.
Analiz Oturumunu Görüntüle
 |
| Apple-online.shop Interlock’un herhangi bir içindeki etkinliğinin bir parçası olarak işaretlendi. Run Sandbox |
Ekibinizi siber tehditlerle mücadele etmek için araçlarla donatın.
14 günlük ücretsiz deneme alın ve herhangi biriyle sınırsız tehdit analiz edin.
Yürütme: Kilitleme Nasıl Kontrol Kazanır?
Kilitleme fidye yazılımı grubu ilk savunmaları ihlal ettikten sonra, yürütme aşaması başlar. Bu aşamada, saldırganlar kötü niyetli yükler kullanır veya güvenliği ihlal edilmiş cihazlarda zararlı komutlar yürütür ve kurbanın ağı üzerinde tam kontrol için zemin hazırlar.
Interlock fidye yazılımı, kullanıcıları aldatmak için meşru yazılım güncellemeleri olarak kötü niyetli araçlarını genellikle gizler. Mağdurlar, rutin bakım gerçekleştirdiklerini düşünerek Chrome, MSTEAMS veya Microsoft Edge montajcılarını taklit edenler gibi sahte güncelleyiciler başlatırlar. Bunun yerine, bu indirmeler, saldırganlara enfekte olmuş sisteme tam erişim sağlayan uzaktan erişim araçlarını (sıçanlar) etkinleştirir.
Herhangi birinin içinde. upd_816295.exesağ taraftaki işlem ağacı içinde açıkça tanımlanmıştır, kötü niyetli davranışını ve yürütme akışını gösterir.
 |
| Sahte güncelleyici herhangi birinin içinde analiz edildi. Run Sandbox |
Herhangi bir Sandbox oturumunun sağ tarafındaki Malconf düğmesini tıklayarak, sahte güncelleyici içinde gizlenmiş şifreli URL’yi ortaya çıkarırız.
Analistler ayrıntılı verileri net ve kullanıcı dostu bir biçimde alırlar, şirketlerin tehdit müdahale iş akışlarını geliştirmelerine, analiz süresini azaltmalarına ve siber tehditlere karşı savaşırken daha hızlı ve daha etkili sonuçlar elde etmesine yardımcı olurlar.
 |
| Herhangi bir içinde kötü niyetli URL şifresini çözdü. Run Sandbox |
Hassas erişimden ödün vermek
Saldırının bir sonraki adımı erişim kimlik bilgilerini çalmaktır. Bu kimlik bilgileri saldırganlara ağ içinde yanal olarak hareket etme ve mağdurun altyapısını daha da kullanma yeteneği verir.
Kilitleme Fidye Yazılımı Grubu, kullanıcı adları, şifreler ve diğer kimlik doğrulama kimlik bilgileri de dahil olmak üzere hassas verileri toplamak için özel bir Stealer aracı kullandı. Raporlara göre, bu çalınan bilgiler “chrgetpdsi.txt” adlı bir dosyada saklandı, bu da eksfiltrasyondan önce bir toplama noktası olarak görev yaptı.
RUN’un TI arama aracını kullanarak, bu çalmanın Ağustos 2024 gibi erken bir tarihte platformda tespit edildiğini ortaya çıkardık.
 |
| Herhangi bir kişi tarafından tespit edilen kilitleme stealer |
Yanal hareket: dayanağın genişletilmesi
Sırasında Yanal hareket aşamasısaldırganlar ek sistemlere ve kaynaklara erişmek için ağa yayıldı. Interlock fidye yazılımı grubu, Macun– AnydeskVe RDPgenellikle BT ekipleri tarafından kullanılır, ancak kötü niyetli faaliyetler için yeniden tasarlanmıştır.
 |
| Macun herhangi birinin içinde tespit edildi. Run |
Veri Defiltrasyonu: çalınan bilgilerin çıkarılması
Bu son aşamada, saldırganlar, genellikle bulut depolama hizmetlerini kullanarak çalınan verileri kurbanın ağından çıkarırlar. Örneğin, kilit fidye yazılımı grubu, kuruluş dışındaki verileri aktarmak için Azure bulut depolamasından yararlandı.
Run Sandbox’ın içinde verilerin saldırgan kontrollü sunuculara nasıl gönderildiğini görebiliriz.
Örneğin, burada günlükler, IP 217[.]148.142.19 üzerinde Port 443 Kilit saldırısı sırasında.
 |
| Sıçan tarafından saldırgan kontrollü sunuculara gönderilen veriler |
Sağlık hizmetlerinde fidye yazılımlarına karşı proaktif koruma
Sağlık sektörü, hassas hasta verilerini tehlikeye atan, kritik hizmetleri bozan ve yaşamları riske atan saldırılarla, kilitli fidye yazılım grupları için ana hedeftir. Sağlık kuruluşları dikkatli kalmalı ve sistemlerini ve verilerini korumak için siber güvenlik önlemlerine öncelik vermelidir.
Erken tespit, hasarı en aza indirmenin anahtarıdır. Any. Run Sandbox gibi araçlar, sağlık ekiplerinin saldırı zincirinin başlarında kilitlenme gibi tehditleri belirlemelerine izin vererek veri ihlallerini gerçekleşmeden önce önlemlenebilir bilgiler sağlar.
Şüpheli dosyaları güvenli bir şekilde analiz etme, gizli uzlaşma göstergelerini (IOC’ler) ortaya çıkarma ve ağ etkinliğini izleme yeteneği ile herhangi bir.Run, kuruluşlara gelişmiş tehditlere karşı mücadele etme gücü verir.
Bugün ücretsiz denemenizi başlatın.