Kuzey Kore, ABD'deki sağlık fidye saldırılarını destekliyor

Yetkililer, haydut devletle bağlantılı siber suçlu gruplarının ABD’deki sağlık ve halk sağlığı kuruluşlarına saldırmak için Maui fidye yazılımını kullandığını söylüyor.

FBI, Siber Güvenlik Ajansı (CISA) ve ABD Hazinesi, Büro müfettişlerini Kuzey Kore’ye geri götüren teknikleri, taktikleri ve prosedürleri ve uzlaşma göstergelerini analiz ettikten sonra siber kampanyayı ele geçirdiklerini belirten ortak bir bildiri yayınladı.

Fidye yazılımı saldırıları en az Mayıs 2021’den beri devam ediyor ve elektronik sağlık kayıtları ile teşhis ve görüntüleme hizmetlerini hedef alıyor. Ajanslar, bazı durumlarda mağdur örgütlerin sunduğu hizmetlerin “uzun süre kesintiye uğradığını” da sözlerine ekledi.

CISA, “FBI, CISA ve Hazine, dosyaların ve kayıtların kurtarılacağını garanti etmediği ve yaptırım riskleri oluşturabileceği için fidye ödemekten son derece caydırıyor” dedi.

Maui fidye yazılımı (maui.exe), “komut satırı arabirimi” kullanan bir tehdit aktörü tarafından uzaktan manuel olarak çalıştırılmak üzere tasarlanmıştır. [T1059.008] kötü amaçlı yazılımla etkileşime geçmek ve şifrelenecek dosyaları belirlemek için” dedi. “Her şifreli dosyanın benzersiz bir anahtarı vardır ve dosyanın orijinal yolunu içeren özel bir başlık içerir, bu da Maui’nin önceden şifrelenmiş dosyaları tanımlamasına olanak tanır.”

Yetkililer, siber saldırılar için “ilk erişim vektörlerinin” bilinmediğini, ancak sağlık sektörü işletmelerini çeşitli güvenlik önlemleri almak saldırıya uğramalarını önlemek ve ihlalleri veya fidye taleplerini derhal FBI veya CISA’ya bildirmek.

Siber saldırı simülasyon şirketi SafeBreach’den Avishai Avivi, siber kampanya hakkında şunları söyledi: “Kurumların fidye ödemekten kaçınma tavsiyelerine kesinlikle katılıyoruz. Kötü niyetli aktörlerin şifre çözme anahtarını sağlayamayacakları konusunda gerçek bir risk var ve verilerden herhangi birini sızdırırlarsa, bunu dark web ile paylaşmayacaklarının garantisi yok.”

Kuruluşların ödeme yapmak yerine, fidye gruplarının kötü amaçlı yazılım saldırılarını azaltmak için uygun olduklarından emin olmak için en az ayda bir kez yapılan kontrolleri içeren veri yedeklemelerine önceden para harcaması gerektiğini söyledi.

Avivi şunları ekledi: “Sağlık kuruluşları, fidye yazılımlarının yanal yayılmasını önlemek için ağlarını bölümlere ayırmak ve ortamları izole etmek için tüm önlemleri almalıdır. Bu temel siber hijyen adımları, fidye yazılımı saldırısına hazırlanan kuruluşlar için çok daha iyi bir yoldur. Yine de kuruluşların yukarıda bahsedilen temel adımları atmakta başarısız olduklarını görüyoruz.”