McLaren Health Bir Yıl İçinde İkinci Kez Fidye Yazılımıyla Karşı Karşıya

Dolandırıcılık Yönetimi ve Siber Suç, Sağlık, Sektöre Özel

Klinikçiler Mevcut Saldırının 2023 Saldırısından Daha Yıkıcı Olduğunu Söylüyor

Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
8 Ağustos 2024

Michigan merkezli McLaren Health Care, bir yıldan kısa bir süre içinde ikinci kez siber saldırıya uğradı ve 13 hastane ve diğer tıbbi tesislerdeki BT sistemleri ile hasta hizmetleri sekteye uğradı.

Ayrıca bakınız: Sağlık Hizmetlerinin Güvence Altına Alınması: Sürekli Değişen Bir Tehdit Ortamında Riski En Aza İndirmek

INC Ransom grubu, McLaren’in Salı günü tespit ettiği son saldırının sorumluluğunu üstlendi. Hafta başında bir McLaren çalışanı tarafından çekilen iddia edilen INC Ransom’ın fidye notunun fotoğrafı, eskiden Twitter olan X’te yayınlandı.

Geçtiğimiz yıl, Rusça konuşan fidye yazılımı çetesi BlackCat/Alphv, 2 milyondan fazla hastanın hassas bilgilerini tehlikeye atarak 6 terabayt McLaren Health çaldığını iddia etti. McLaren Health, BlackCat’e fidye ödeyip ödemediğini kamuoyuna açıklamadı. (bkz: Grup, Saldırıda 2,5 Milyon Hastanın Verilerini Çaldığını İddia Ediyor).

“Saldırganlar tarafından fidye ödenen kuruluşların, fidye ödeyip ödememelerine bakılmaksızın tekrar hedef alınma olasılığı daha yüksektir,” diyor danışmanlık şirketi First Health Advisory’nin icra başkan yardımcısı eski sağlık bilişim teknolojileri sorumlusu David Finn. “Elbette, fidye öderseniz, genellikle aynı tehdit aktörü tarafından yapılan ikinci bir saldırıya maruz kalma olasılığınız daha yüksektir. İlk saldırıda fidye ödenen durumlarda, bu kuruluşların neredeyse %80’i tekrar saldırıya uğradı,” diyor.

Ağustos 2023’te McLaren Health “şüpheli aktivite” keşfettiğini söyledi ve bir ay sonra Rusça konuşan Alphv siber suç çetesi, BlackCat olarak da bilinir, karanlık web sitesinde 2,5 milyon McLaren hastasının “hassas verilerini” çaldığını iddia etti. O zamanki tehdit aktörü, McLaren’in ağında “arka kapısının hala çalıştığını” iddia etti.

McLaren Health sözcüsü Information Security Media Group’a yaptığı açıklamada, son olayın “geçen yılki saldırıyla ilgisi olmadığını” söyledi. ISMG’nin iki saldırı hakkında ek ayrıntı talebini ise reddetti.

“EMR’lere erişim yok. McLaren hastalardan tıbbi bilgilerinin çıktılarını getirmelerini istiyor. Doktorlar giriş yapamıyor. Kariyerlerine yeni başlayan ve hayatları boyunca hiç kağıt kayıt kullanmamış yeni hemşireler var.”

—Dina Carlisle, RN, McLaren Sağlık Bakımı

McLaren Health tıbbi personeli Information Security Media Group’a, geçen yılki olayın aksine, esas olarak veri hırsızlığına odaklandığı görülen bu saldırının şimdiye kadar klinik iş akışlarını ve potansiyel olarak hasta güvenliğini etkileyen daha uzun süreli ve daha ciddi BT kesintilerine neden olduğunu söyledi.

“EMR’lere erişim yok. McLaren hastalardan tıbbi bilgilerinin çıktılarını getirmelerini istiyor. Doktorlar giriş yapamıyor. Kariyerlerine yeni başlayan ve hayatları boyunca hiç kağıt kayıt kullanmamış yeni hemşireler var,” dedi McLaren hastanelerinden birinde kritik bakım kayıtlı hemşire olan Dina Carlisle. “Bu bir hasta güvenliği meselesi.”

Carlisle ayrıca Michigan, Macomb Township’teki RN Personel Ofis Konseyi ve Profesyonel Çalışanlar Uluslararası Sendikası Yerel 40’ın başkanıdır. Bu kuruluş hemşireleri, radyoloji teknisyenlerini ve diğer sağlık uzmanlarını temsil etmektedir.

“McLaren’a daha fazla personel ve durumla ilgili günlük güncellemeler için bir dilekçe göndereceğiz,” dedi. Sendika, Haziran ayında Missouri merkezli hastane zincirinin de oldukça yıkıcı bir fidye yazılımı saldırısıyla uğraştığı Ascension’a benzer bir dilekçe gönderdi (bkz: Sendika, Ascension Siber Kesintisinde Hasta Güvenliğinin Düzeltilmesini Talep Ediyor).

Carlisle, geçen yıl BlackCat/Alphv tarafından düzenlenen saldırı sırasında McLaren Health’te çalışmıştı. Klinik BT sistemlerindeki kesinti düzeyi açısından “Sonuncusu bu kadar kötü değildi” dedi. “Bu bizim için yeni.”

Saldırı Detayları

McLaren Health, Çarşamba günü internet sitesinde yayınladığı bir bildiride, BT ve telefon sistemlerindeki kesintinin bir suç teşkil eden siber saldırının sonucu olduğunu “doğruladı”.

McLaren Health, “Bilgi teknolojisi ekibimiz, saldırının doğasını analiz etmek ve tehdit aktörlerinin etkilerini azaltmak için harici siber güvenlik uzmanlarıyla çalışmaya devam ediyor. Şu anda herhangi bir hasta veya çalışan verisinin tehlikeye atılıp atılmadığını belirlemedik” dedi.

McLaren Health, saldırıdan haberdar olduktan hemen sonra hastanelerinin ve ayakta tedavi kliniklerinin hasta bakımının sağlanması için kesinti prosedürleri uyguladığını söyledi.

McLaren Health, “Sistemimizin işlevselliğini tam olarak geri yüklemek için çalışırken, birçok bilgi teknolojisi sistemi kesinti prosedürleri altında çalışmaya devam ediyor. Politikalarımız ve prosedürlerimiz var ve bilgi teknolojisi kesintilerine karşı eğitim veriyoruz” dedi.

Detroit Free Press’in haberine göre, McLaren haftanın başlarında kısa bir süre için bazı ambulansları etkilenen hastanelerden uzaklaştırdı ve doktorların radyoloji raporlarına, laboratuvar test sonuçlarına veya ek test ve prosedür emirlerine erişememesi nedeniyle bazı randevuları iptal etti.

McLaren’in Çarşamba günkü açıklamasında tesislerinin “büyük ölçüde faaliyette olduğu ve faaliyetlerini tam olarak eski haline getirmek için çalışırken topluluklarımıza hizmet verebilecek durumda olduğu” belirtildi.

“Acil servislerimiz çalışmaya devam ediyor, çoğu ameliyat ve prosedür gerçekleştirilmeye devam ediyor ve doktor muayenehanelerimiz mümkün olduğunca çok sayıda hastayı görmeye devam ediyor. Sistemlerimize erişimin sınırlı olduğu bu dönemde ve aşırı tedbir amacıyla, bazı acil olmayan randevular, testler ve tedaviler yeniden planlanıyor.”

McLaren ayrıca, kuruluşun tedarik zincirinin etkilenmemesini ve bakım ve tedaviler için sigorta yetkilendirmelerinin işlenmesini sağlamak amacıyla tedarikçileri ve sigorta sağlayıcılarıyla aktif olarak çalıştığını söyledi.

McLaren, geçen yılki saldırıyla ilgili olarak birkaç toplu dava önerisiyle karşı karşıya (bkz: McLaren Health, Fidye Yazılımı Saldırısında 3 Davayla Karşı Karşıya).

Ne yazık ki, şirketlerin bir tehdit grubunun ve ardından bir diğerinin kurbanı olması giderek daha yaygın hale geliyor, diyor güvenlik firması Rapid7’nin kıdemli başkan yardımcısı ve baş bilim insanı Raj Samani. “Her zaman önemli bir husus, ilk erişime izin veren güvenlik açıklarının ele alınıp alınmadığı olacaktır,” diyor.

“Son 18 ayda, fidye yazılımı grupları arasında daha akışkan bir etkinlik düzeyine doğru bir eğilim gözlemledik. Kod paylaşıyorlar ve iştirakçiler bir gruptan diğerine serbestçe hareket ediyor,” dedi.

“Büyüklüğü veya sektörü ne olursa olsun tüm kuruluşlar, saldırı yüzeylerini tam olarak anlamalı, böylece hala öncelikli olarak fırsatçı bir suç faaliyeti olan bu durumun etki alanının dışında kalabilmelidir.”

Bazı güvenlik araştırmacıları, BlackCat’in artık faaliyette olmayan Conti fidye yazılımı grubunun bir yan ürünü olduğunu söylüyor. İlk olarak Temmuz 2023’te ortaya çıkan INC Ransom çetesi, tehdit istihbarat firması RedSense’in kurucu ortağı ve baş araştırma görevlisi Yelisey Bohuslavskiy’e göre, Conti’nin Team1’inin Zeon olarak bilinen birçok “alt türünden” biri gibi görünüyor.

Güvenlik firması Cybereason, yakın zamanda yayınladığı bir tehdit uyarısında, INC Ransom’ın diğer fidye yazılımı gruplarına benzer saldırı taktikleri kullandığını belirtti.

Raporda, “Grup, kurban ortamına erişmek ve uzak masaüstü protokolünü kullanarak yatay olarak hareket etmek için ele geçirilmiş kimlik bilgilerini kullanıyor. Yeni makineleri ele geçirirken, komut dosyalarını kullanarak başka bir kimlik bilgisi hırsızlığı komutu gerçekleşiyor” denildi.

“Sonunda, operatörler fidye yazılımını WMIC ve PSEXEC kullanarak dağıtıyor. Verileri sızdırmak için grubun, diğer fidye yazılımı grubu iştirakleri tarafından da kullanılan MegaSync aracını kullandığı gözlemlendi,” diyor raporda.

Perşembe günü itibarıyla, karanlık web izleme firması DarkFeed.io 149 INC Ransom kurbanı saydı.

Kötü Şans mı?

Danışmanlık firması First Health Advisory’nin hükümet ve dijital sağlık baş güvenlik görevlisi Toby Gouker, McLaren Health’in bir yıl içinde ikinci bir fidye yazılımı saldırısına kurban gitmesine yol açan birkaç faktörün “başta şanssızlık olmak üzere” olduğunu söyledi.

“Kötü şans, yetersiz güvenlik önlemleri, hızla artan tehdit yüzeyi, düzeltici fon kaynağına hızlı bir şekilde ulaşamama ve en az gelişmiş saldırganların bile savunmasız bir kuruluşun kamuya açık kanıtlarını gördüğünde başarıya ulaşabildiği fidye yazılımı hizmetinin yaygınlaşmasıyla daha da kötüleşebilir” dedi.

Saldırganların olaydan sonra sistemde kalabilmeleri de mümkün, ancak “operasyonları başka bir kuruluşa devretmeleri pek olası değil” dedi.

“Karanlık ağda birçok kurumsal düzeyde iş faaliyeti gördük: doğrulanmış, yüksek limitli kredi kartları satışı, temiz X-ray görüntüleri satışı, RaaS, vb. Ancak bir saldırganın aktif bir istismarı devrettiği bir iş modeline dair kanıtımız yok.”