CISA’ya göre Rusya yanlısı KillNet grubu, DDoS saldırılarıyla aktif olarak ABD ve Avrupa sağlık sektörlerini hedefliyor.
Ocak ayının sonunda Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, KillNet grubunun dağıtılmış hizmet reddi (DDoS) saldırılarıyla ABD sağlık sektörünü aktif olarak hedef aldığı konusunda uyardı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), düzinelerce hastanenin bu DDoS olaylarına yanıt vermesine yardımcı olduğunu söylüyor.
DDoS
Dağıtılmış bir hizmet reddi saldırısı, ağ iletişim isteklerini belirli bir hedefe göndermek için çok sayıda sistem kullanır. Saldırganlar genellikle istekleri göndermek için köleleştirilmiş bilgisayarları, yani “botları” kullanır. Sonuç olarak, alıcı sunucu, sunucuyu çökerten veya normal kullanıcıların sunucuya bağlanamayacak kadar meşgul olmasına neden olan saçma isteklerle aşırı yüklenir.
Bu tür saldırılar çok sayıda bilgisayar korsanı grubu tarafından popüler hale getirildi ve hükümetler tarafından gerçekleştirilen devlet destekli saldırılarda kullanıldı. Neden? Çünkü onları alt etmek kolaydır ve onlara karşı savunmak zordur.
Öldürme Ağı
KillNet, Ocak 2022’den beri oldukça aktif olan Rus yanlısı bir gruptur. Rusya’nın Ukrayna’yı işgaline kadar KillNet, kiralık bir DDoS grubu olarak biliniyordu. Artık Ukrayna’yı destekleyen ülkelere karşı başlatılan DDoS kampanyalarıyla daha iyi tanınıyorlar. Önceki kampanyalarda çete, ABD havayollarına, İngiliz kraliyet ailesine, Litvanya hükümetine ait web sitelerine ve daha pek çok başka siteyi hedef aldı, ancak şimdi ana odak noktaları sağlık sektörüne kaydı. Bu arada ilk kez değil—grup geçmişte de ABD sağlık sektörünü hedef aldı.
Bu saldırılar ABD ile sınırlı değil. Son zamanlarda, Hollanda’daki Groningen Üniversitesi Tıp Merkezi (UMCG) web sitesinin trafikle dolup taştığını gördü. Bu saldırı, ülkenin sağlık bilgisayarı acil müdahale ekibi Z-CERT tarafından KillNet’e atfedildi.
KillNet grubu, Rus yanlısı sempatizanların Batı çıkarlarına karşı siber saldırılara gönüllü olarak katılmalarına izin veren bir Telegram kanalını yönetiyor. Bu, bazen saldırıların farklı kaynaklardan kaynaklanacağı için saldırıların bu belirli gruba atfedilmesini zorlaştırır.
saldırılar
KillNet’in DDoS saldırıları genellikle büyük hasara neden olmaz, ancak birkaç saat hatta gün süren hizmet kesintilerine neden olabilir. Sağlık hizmeti sağlayıcıları için uzun süreli kesintiler, randevu gecikmelerine, elektronik sağlık kayıtlarının (EHR’ler) kullanılamamasına ve ambulans yönlendirmelerine neden olabilir.
CISA’ya göre, KillNet saldırılarının sadece yarısı web sitelerini çevrimdışı hale getirebildi. CISA, yetersiz finanse edilen kuruluşlara DDoS saldırılarının etkisini azaltmalarına yardımcı olabilecek ücretsiz kaynaklar sağlamak için birkaç teknoloji şirketiyle birlikte çalıştığını söylüyor. Ayrıca, devlet yardımı ve üçüncü taraf hizmetleri hakkında hastanelerle iletişim kurmak için ABD Sağlık ve İnsani Hizmetler Departmanı (HHS) ile çalışmaya devam etmeyi planlıyor.
Azaltma
DDoS risklerini azaltmak zor olabilse de Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi (HC3), sağlık kuruluşlarını uygulama düzeyinde DDoS saldırılarını azaltmak ve içerik dağıtım ağlarını (CDN) kullanmak için güvenlik duvarlarını etkinleştirmeye teşvik ediyor.
Bir DDoS saldırısının hedefi olduğunuzu öğrendiğiniz anda bir çözüm için çabalamak en iyi strateji değildir, özellikle de kuruluşunuz İnternet’e bakan sunuculara bağlıysa. Bu nedenle, “her zaman açık” bir korumanız yoksa, en azından bir saldırı meydana geldiğinde takip edebileceğiniz bir planınız veya protokolleriniz olduğundan emin olun.
Kuruluşunuza en fazla zarar verecek olası sonuçlara bağlı olarak, seçilen çözüm size aşağıdaki seçeneklerden birini veya birkaçını sunmalıdır:
- Kullanıcıların siteyi mümkün olduğunca normal şekilde kullanmasına izin verin.
- Bir saldırı sırasında ağınızı ihlallerden koruyun.
- Çalışmak için alternatif bir sistem sunun.
Yapmanız gereken en azından bir saldırının devam etmekte olduğunun farkında olduğunuzdan emin olmaktır. Neler olup bittiğini ne kadar çabuk anlarsanız, uygun şekilde o kadar hızlı tepki verebilirsiniz. İdeal olarak, DDoS saldırılarını hedeflerine ulaşmadan önce tespit etmek, tanımlamak ve azaltmak istiyorsunuz. Bunu iki tür savunma yoluyla yapabilirsiniz:
- Tesis içi koruma (örn. belirleme, filtreleme, algılama ve ağ koruması).
- Bulut tabanlı karşı eylem (örn. sapma, absorpsiyon, yeniden yönlendirme ve temizleme).
Her iki dünyanın da en iyisi, yerinde bir saldırıyı erkenden algılayan ve şirket içi çözümün kaldıramayacağı bir hacme ulaştığında bulut tabanlı çözüme yükselten hibrit bir çözümdür. Bazı DDoS koruma çözümleri, tüm trafiği koruyucuların bulut tabanlı ve saldırıyla eşleşecek şekilde ölçeklenebilen ağı üzerinden kalıcı olarak yeniden yönlendirmek için DNS yeniden yönlendirmesini kullanır. Oradan normal trafik, saldırının hedefine veya alternatif mimarisine yönlendirilebilir.
CISA, tüm ağ savunucularını ve liderlerini bu üç belgeyi incelemeye teşvik eder:
Fidye yazılımı uyarısı
Bazı güvenlik kurumları ve sağlayıcılar, DDoS saldırılarının fidye yazılımı ve veri hırsızlığı içeren gerçek izinsiz girişleri örtmek için kullanıldığı konusunda uyarıda bulundu. Bu saldırılarda DDoS, fidye yazılımının oluşturduğu çok daha büyük tehlikeden dikkat çekerek bir sis perdesi görevi görür.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.