Salı günü, McLaren Health Care hastanelerindeki BT ve telefon sistemleri, INC Ransom fidye yazılımı operasyonuyla bağlantılı bir saldırının ardından kesintiye uğradı.
McLaren, Michigan genelinde 13 hastaneden oluşan bir ağ işleten ve 640 hekimden oluşan bir ekip tarafından desteklenen, yıllık geliri 6,5 milyar doların üzerinde olan kar amacı gütmeyen bir sağlık sistemidir. Ayrıca 28.000’den fazla çalışanı vardır ve Michigan, Indiana ve Ohio genelinde 113.000 ağ sağlayıcısıyla çalışır.
Sağlık sisteminin internet sitesinde yer alan açıklamada, “McLaren Health Care olarak bilgi teknolojisi sistemimizdeki kesintiyi araştırmaya devam ederken, ekiplerimizin hastalar geldiğinde onlara mümkün olduğunca hazırlıklı olmalarını sağlamak istiyoruz” ifadeleri yer aldı.
“Randevuları olan hastalar, bakım ekibimizin bir üyesi kendileriyle iletişime geçmediği sürece randevularına katılmayı planlamalıdır.
McLaren, hastalara randevularına doktor talimatları ve son laboratuvar testlerinin basılı sonuçları dahil olmak üzere mevcut ilaçları hakkında ayrıntılı bilgi getirmeleri tavsiyesinde bulunurken hastanelerin hasta bilgi veri tabanlarına erişimini kaybettiğini ima etti. Sağlık sistemi ayrıca bazı randevuları ve acil olmayan veya seçmeli prosedürleri “aşırı tedbir” nedeniyle yeniden planlamak zorunda kalabileceğini söyledi.
“Bu durumun hastalarımız ve ekip üyelerimiz için can sıkıcı olabileceğini anlıyoruz ve bunun neden olabileceği herhangi bir rahatsızlıktan dolayı derin ve içtenlikle özür dileriz,” diye ekledi McLaren. “Bakıcılarımız ve destek ekiplerimiz toplumlarımıza ihtiyaç duydukları ve hak ettikleri bakımı sağlamak için her zamanki gibi titizlikle çalışırken lütfen sabrınızı rica ediyoruz.”
McLaren, olayın niteliğini henüz açıklamasa da Bay City’deki McLaren Bay Bölge Hastanesi çalışanları, hastanenin sistemlerinin şifrelendiği ve fidye ödenmediği takdirde çalınan verilerin INC FİDANCILIK fidye yazılımı çetesinin sızıntı sitesinde yayınlanacağı uyarısında bulunan bir fidye notu paylaştı.
INC Ransom, Temmuz 2023’te ortaya çıkan ve o zamandan beri hem kamu hem de özel sektördeki kuruluşları hedef alan bir fidye yazılımı hizmeti (RaaS) operasyonudur.
Mağdurlar arasında eğitim, sağlık, hükümet ve Yamaha Motor Philippines, Xerox Business Solutions’ın (XBS) ABD bölümü ve İskoçya Ulusal Sağlık Hizmeti (NHS) gibi endüstriyel kuruluşlar yer alıyor.
Mayıs ayında “salfetka” olarak bilinen bir tehdit grubu, Exploit ve XSS hackleme forumlarında INC Ransom’un Windows ve Linux/ESXi şifreleyici sürümlerinin kaynak kodlarını 300.000 dolara sattığını iddia etti.
İki ay sonra, Temmuz ayında, kötü amaçlı yazılım analistleri kaynak kodunun Lynx ransomware adlı yeni ortaya çıkan bir fidye yazılımı grubu tarafından satın alınmış olabileceğini belirtti. Ancak bu aynı zamanda bir yeniden markalama çabası da olabilir ve potansiyel olarak INC RANSOM’un kolluk kuvvetlerinin daha az denetimiyle faaliyetlerine devam etmesine olanak tanıyabilir.
BleepingComputer, yeni Lynx fidye yazılımı şifreleyicileri ile son INC şifreleyicileri arasındaki dizeleri analiz etti ve küçük değişiklikler dışında, bunların büyük ölçüde aynı olduğunu doğrulayabildi.
McLaren, Kasım 2023’te yaklaşık 2,2 milyon kişiyi, Temmuz sonu ile Ağustos 2023 arasında kişisel ve sağlık bilgilerinin ifşa olduğu bir veri ihlali konusunda bilgilendirdi.
Ele geçirilen veriler arasında isimler, Sosyal Güvenlik numaraları, sağlık sigortası ve doktor bilgileri, ayrıca Medicare/Medicaid, reçete/ilaç, teşhis sonuçları ve tedavi bilgileri yer alıyor.
ALPHV/BlackCat fidye yazılımı grubu, 4 Ekim’deki veri ihlalinin arkasında Temmuz 2023’teki saldırının olduğunu iddia etti.