İhlal Bildirimi, Sağlık Hizmetleri, Sektöre Özel
Wisconsin Kâr Amacı Gütmeyen Kuruluş, Saldırganların Sistemleri Şifrelemeye Denediklerini Ancak Başarısız Olduklarını Açıkladı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
10 Nisan 2024
Wisconsin’de kar amacı gütmeyen bir yönetimli bakım kuruluşu, yaklaşık 534.000 kişiye, korunan sağlık bilgilerinin, grubun BT sistemlerini şifrelemeye çalışan ancak başarısız olan bir “yabancı fidye yazılımı çetesi” tarafından yakın zamanda gerçekleştirilen bir saldırıda kopyalanıp çalındığını bildiriyor.
Ayrıca bakınız: Dijital Risk Korumasını Benimsetmek: Tehdit İstihbaratınızı Bir Sonraki Seviyeye Taşıyın
Sigorta ve bir dizi birinci basamak ve özel bakım hizmetleri sağlayan Güney Merkez Wisconsin Grup Sağlık Kooperatifi, Maine başsavcılığına sunduğu bir raporda, Ocak ayında keşfedilen olayda, 107’si dahil 533.809 kişiye ait Sosyal Güvenlik numaraları da dahil olmak üzere bilgilerin riske atıldığını söyledi. Maine sakinleri.
Madison, Wisconsin merkezli kuruluş ayrıca Pazartesi günü HIPAA ihlalini ABD Sağlık ve İnsani Hizmetler Bakanlığı’na bir ağ sunucusunu içeren bir bilgisayar korsanlığı/BT olayı olarak bildirdi.
GHC-SCW, bir ihlal bildiriminde 25 Ocak sabahın erken saatlerinde ağına yetkisiz erişim tespit ettiğini söyledi. Kuruluşun BT ekibi “ağımızı kasıtlı olarak izole edip güvenliğini sağladı, bu da birçok sistemimizin geçici olarak kullanılamaz hale gelmesine neden oldu.”
GHC-SCW, saldırganın kuruluşun sistemini şifrelemeye çalıştığını ancak başarısız olduğunu söyledi.
tw gizlilik ve güvenlik danışmanlığı başkanı Tom Walsh, “Fidye yazılımının verileri şifrelemede başarısız olması, depolanan verilerin (kullanılmayan veriler) güçlü erişim kontrolleri yoluyla iyi korunduğu veya izlendiği anlamına gelebilir” dedi. -Güvenlik. “Fidye yazılımının artık bir hizmet olarak sunulması, fidye yazılımının deneyimsiz saldırganlar tarafından kullanıldığı anlamına da gelebilir” dedi.
Kuruluşun ihlal bildiriminde, GHC-SCW’nin olayı FBI’a bildirdiği, Siber Güvenlik ve Altyapı Güvenliği Ajansı ile birlikte çalıştığı ve sistemlerinin geri yüklenmesine ve saldırının soruşturulmasına yardımcı olmak için harici siber olay müdahale kaynaklarını işe aldığı belirtildi.
9 Şubat’ta soruşturma sırasında GHC-SCW, saldırganın hasta ve plan üyesi bilgileri de dahil olmak üzere GHC-SCW’nin bazı verilerini kopyaladığına dair belirtiler keşfetti.
“Saldırganın çaldığı PHI, üye/hasta adını, adresini, telefon numarasını, e-posta adresini, doğum ve/veya ölüm tarihini, Sosyal Güvenlik numarasını, üye numarasını ve Medicare ve/veya Medicaid numarasını içeriyor olabilir.” GHC-SCW söz konusu.
Kuruluş, “Yabancı bir fidye yazılımı çetesi olan saldırganın, saldırının sorumluluğunu üstlenerek verilerimizi çaldığını iddia ederek GHC-SCW ile iletişime geçmesiyle keşfimiz doğrulandı” dedi.
DataBreaches.net blog sitesi Çarşamba günü, 9 Mart’ta fidye yazılımı grubu BlackSuit’in karanlık web sızıntı sitesindeki bir gönderiyle GHC-SCW saldırısının sorumluluğunu üstlendiğini bildirdi.
HHS’nin Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, Ocak ayında yayınlanan bir tehdit raporunda BlackSuit’in, Royal fidye yazılımı ailesiyle önemli benzerlikler taşıyan nispeten yeni bir fidye yazılımı grubu olduğunu ve “sağlık hizmetleri ve kamu sağlığı sektörüne giderek artan bir tehdit” sunduğunu söyledi.
HHS HC3, Mayıs 2023’ün başlarında keşfedilen “BlackSuit’in, Rusya bağlantılı eski kötü şöhretli Conti operasyonunun doğrudan devamı olan Royal ile çarpıcı paralellikleri, grubu potansiyel olarak bugün faaliyet gösteren en aktif fidye yazılımı gruplarından birine yerleştiriyor” dedi.
HHS HC3, BlackSuit’in öncelikle Linux sistemlerini ve Windows’u hedef aldığını ve mağdurların dosyaları şifreleyerek erişmelerini engellediğini söyledi. Raporda, BlackSuit operatörlerinin kurbanları fidyeyi ödemeye zorlamak için çifte şantaj stratejisinin bir parçası olarak bir veri sızıntısı sitesi kurduğu da belirtiliyor.
GHC-SCW, Bilgi Güvenliği Medya Grubu’nun, saldırıyı üstlenen fidye yazılımı grubunun kimliği ve kuruluşun fidye ödeyip ödemediği de dahil olmak üzere olayla ilgili ek bilgi talebine hemen yanıt vermedi.
GHC-SCW, ihlal bildiriminde “Bilgilerin kullanıldığına veya daha fazla ifşa edildiğine dair hiçbir göstergemiz yok” dedi. “Bunun tekrar yaşanma riskini azaltmak için tüm sistemlerimizde ve ağlarımızda gelişmiş güvenlik önlemleri uyguladık. Buna mevcut kontrollerin güçlendirilmesi, veri yedekleme, kullanıcı eğitimi ve farkındalığı ve diğer önlemler de dahildir.”
GHC-SCW, etkilenen kişilere 12 ay boyunca ücretsiz kredi ve kimlik izleme olanağı sunuyor.
Harekete geçmek
Bazı uzmanlar, sağlık sektörü kuruluşlarına yönelik siber tehditler devam edip gelişirken, bazı kuruluşların savunmalarını güçlendirmek ve olaylara müdahalelerini daha iyi hazırlamak için harekete geçtiklerini söyledi.
Güvenlik firması Critical Insight’ın gelir sorumlusu Jake Milstein, “Hastaneler çok şükür siber güvenlik yeteneklerini geliştiriyor ve bu durumda kuruluş, GHC-SWC sistemlerini şifreleyen saldırganlar açısından suçluları engellemiş gibi görünüyor” dedi.
“Her saldırıyı durdurmak imkansızdır ve GHC-SCW burada saldırının etkisini sınırlandırarak doğru olanı yaptı” dedi.
“Kuruluşların tam ölçekli saldırılarını gerçekleştirmelerini engellemek için sisteme giren saldırıları tespit edebilmeleri gerekiyor” dedi. Milstein, kuruluşların ağları izleyen ve saldırganları iş başında yakalayan güvenlik operasyon merkezlerine sahip olması durumunda, bu güvenlik ekiplerinin aynı zamanda potansiyel olarak hastaları kesintiye uğrayan sistem ve hizmetlerden kaynaklanan zararlardan koruduğunu söyledi.
Walsh, 7/24/365 izleme sağlayacak yönetilen bir güvenlik hizmeti sağlayıcısının kullanılmasının gerçekten önemli olduğunu söyledi. “Birçok kuruluş, BT personelinin az olduğu veya hiç çalışmadığı akşamlar/geceler, hafta sonları ve tatillerde daha savunmasızdır.”
Walsh ayrıca, gizli bilgilerin ağ ve uç noktalardaki ve bulut depolama veya bulut hizmetlerine olan hareketini izlemek ve kontrol etmek için veri kaybını önleme kullanımının “verilerin izinsiz olarak sızmasını tanımlayabileceğini ve umarız ki önleyebileceğini” söyledi.
Yedeklemeleri Koruma
Bazı durumlarda saldırganlar yedekleme sistemlerini ve veri depolamayı hedef alır, bu da fidye yazılımı ve diğer saldırılardan tam kurtarmayı daha da zorlaştırır ve bazen imkansız hale getirir.
Critical Insight’ın baş ürün sorumlusu Fred Langston, “Fidye yazılımı riskini azaltmanın en iyi yolu, muhtemelen üç öğe, yönetici erişimi konumu, belirteç ve kullanıcı adı parolası ile güçlü kimlik doğrulamaya sahip değişmez yedeklemeler uygulamaktır” dedi. “Bu, geri yükleme yapabileceğiniz bozulmamış yedeklemelere sahip olacağınızı neredeyse garanti eder.”
Walsh, kuruluşların ayrıca, özellikle gizli bilgiler için en az bir yedekleme kümesini çevrimdışı olarak saklaması gerektiğini söyledi.
“Bu aynı zamanda bulut tabanlı yedekleme sistemlerinin güvenliği ihlal edildiğinde veya kullanılamadığında da yardımcı oluyor” dedi. Walsh, fidye yazılımının yedekleme sunucularına ve depolamaya yayılmasını önlemek için kuruluşların yedekleme sistemlerini ağın geri kalanından ayırmaları gerektiğini söyledi.
“Etkinliğini sağlamak için yedekleme ve kurtarma süreçlerini düzenli olarak test edin. Yedeklemelerden sorumlu personeli en iyi uygulamalar konusunda eğitin” dedi.