Veri ihlali bildirimi, veri güvenliği, sahtekarlık yönetimi ve siber suç
Michigan merkezli grup, fidye yazılımı saldırısında iki yılda ikinci kez ihlal edildi
Marianne Kolbasuk McGee (Healthinfosec) •
23 Haziran 2025
McLaren Health, geçen yaz fidye yazılımı saldırısından etkilenen 743.000’den fazla kişiyi bilgilendirmeye başladı. Cybercriminal Gang Inc. Ransom tarafından yapılan olay, McLaren’in iki yıl içinde fidye yazılımı saldırısından ikinci büyük sağlık veri ihlalidir.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Michigan merkezli McLaren, 20 Haziran’da Maine Başsavcılığına açılan raporuna eşlik eden örnek bir ihlal bildirim mektubunda, BT organizasyonunun “5 Ağustos 2024’te tespit edilen uluslararası bir fidye yazılımı grubu tarafından bir siber güvenlik saldırısının hedefi olduğunu söyledi.
Olay McLaren Sağlık Hizmetlerini ve Karmanos Kanser Enstitüsü Bilgisayar Ağı’nı etkiledi. McLaren, Kanser Merkezi de dahil olmak üzere 13 hastane ve diğer tıbbi tesisleri işletmektedir.
Pazartesi itibariyle, 2024 McLaren olayı henüz ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın HIPAA İhlal Raporlama Aracı web sitesinde 500 veya daha fazla kişiyi etkileyen sağlık veri ihlallerini listelemedi.
HHS’nin Sivil Haklar Ofisi web sitesi, Ekim 2023’te bildirilen 2,1 milyon kişiyi etkileyen bir hack olayı da dahil olmak üzere 2016’dan beri McLaren tarafından bildirilen birkaç büyük ihlal içeriyor.
Bu 2023 hackinde, Blackcat olarak da bilinen Rusça konuşan Alphv siber suç çetesi, Darkweb bölgesinde 2.5 milyon McLaren hastasına ait altı terabayt “hassas veri” çaldığını iddia etti. Tehdit oyuncusu, o sırada McLaren’in ağında “arka kapı hala çalışıyor” dedi.
2024 Olay, Inc. Ransom, çalınan verilerin yanı sıra şifrelenmiş McLaren’in BT sistemlerini de iddia etti.
En son hack’iyle ilgili olarak McLaren, 5 Ağustos 2024’te bazı McLaren ve Karmanos Kanser Merkezi Bilgisayar Sistemleri ile ilgili şüpheli aktivitelerin farkına vardığını söyledi.
Organizasyon, elektronik sağlık kayıtları da dahil olmak üzere BT sistemlerinin çoğunu almayı ve üç haftalık iyileşmesi sırasında kağıt grafik ve manuel prosedürlere başvurmayı içeren acil müdahale süreçlerini aktive etti. McLaren kısa bir süre için olaya cevap verirken diğer tesislere bazı ambulansları da yönlendirdi (bkz:: McLaren Health bir yılda ikinci kez fidye yazılımıyla vuruldu).
McLaren, daha yakın tarihli ihlal bildirim mektubunda, olayla ilgili soruşturmasının ağına yetkisiz erişimin 17 Temmuz ile 3 Ağustos 2024 arasında meydana geldiğini buldu.
Diyerek şöyle devam etti: “Soruşturmamızın bir parçası olarak, herhangi bir hassas bilginin mevcut olup olmadığını belirlemek için potansiyel olarak etkilenen dosyaların kapsamlı bir adli incelemesini yaptık.” Bu süreç 5 Mayıs’ta sonuçlandı.
Etkilenen dosyalarda potansiyel olarak yer alan bilgiler potansiyel olarak isim, sosyal güvenlik numarası, ehliyet numarası, tıbbi bilgiler ve sağlık sigortası bilgilerini içerir.
Pazartesi günü, bazı hukuk firmaları potansiyel sınıf eylem davaları için en son McLaren olayını araştırdıklarını belirten kamu beyanları yayınlamıştı.
McLaren, bilgi güvenliği medya grubunun yorum taleplerine ve hack’ler hakkında ek ayrıntılara hemen yanıt vermedi.
Hacks’i tekrarla
Bazı uzmanlar maalesef, bazı kuruluşların nispeten kısa bir süre içinde birden fazla saldırıya kurban edilmesinin olağandışı olmadığını söyledi.
Güvenlik firması Lumifi Cyber Field Ciso, “Sağlık hizmetleri de dahil olmak üzere fidye yazılımı kurbanlarının fidye yazılımı çetelerini ağlarından tamamen tahliye etmemesi nadir değildir.” Dedi.
“Bu aktörler, bir yamayı desteklemek veya bilinen bir kötü DLL kurmak gibi yazılımlara geri dönebilir veya kasıtlı olarak savunmasız değişiklikler kurabilir.
McLaren’in saldırı olayları hakkında açıklanan sınırlı ayrıntılarına dayanarak, kuruluşun 2023’te sağlık kuruluşuna saldırdığında hala yerinde olduğunu iddia ettiği arka kapıya hitap edip etmediği halka açık bir şekilde bilinmiyor.
Hamilton, “McLaren’in ilk ihlale neden olan teknik güvenlik açıklarını ele alamaması daha az olasıdır, çünkü fidye yazılımı yanıtı kök nedenini belirlemeyi ve düzeltici eylemlerin uygulanmasını sağlamayı içermektedir.” Dedi.
“Bununla birlikte, ilk erişim sosyal mühendislik veya kimlik bilgisi kötüye kullanımı yoluyla kazanılmışsa, kullanıcı eğitimi, etkili e-posta filtreleme, iyi şifre yönetimi, çok faktörlü kimlik doğrulama vb. Gibi başarısız olmaya devam eden kontroller olabilir.”
Hamilton, bu tür olaylara ilk erişimin genellikle üç yöntemden biriyle kazanıldığını söyledi.
Buna teknik güvenlik açığı istismarı; Yetkili, diğer kimlik bilgisi dökümlerinde bulunan şifreleri ve ses ve video derin yorgan gibi giderek daha sofistike yöntemler kullanan sosyal mühendisliklerden yararlanma gibi kimlik bilgisi kötüye kullanımı. “Bu yöntemlerden herhangi biri kullanılabilirdi.”
Bu tür olaylara tekrar tekrar kurban düşmemesine yardımcı olmak için Hamilton, birkaç önemli önlem almanın kritik olduğunu söyledi.
“Kimlik bilgilerinin düzgün yönetildiğinden ve işyerinden farklı uygulamalar arasında paylaşılmadığından emin olun. Bu, bir şifre kasasının kullanılmasını ve infostealer saldırılarından kaçınmak için tarayıcılarda kimlik bilgilerini depolamada bir yasak içerir.” Dedi.
“E -posta, metin, sosyal medya, telefon veya video aracılığıyla beklenmedik herhangi bir mesajdan şüphelenmek için kullanıcıları eğitin.
Ayrıca, kuruluşların yama yönetimini optimize etmeleri ve yamalar programda uygulanamadığında telafi edici kontroller kullanmaları gerektiğini söyledi.
Ama bunun üzerine, “En iyi tavsiye şudur: tüm kişisel kullanımı kişisel cihazlara zorladı” diye vurguladı.