REvil fidye yazılımı grubu tarafından gerçekleştirilen 2022 Medibank veri ihlali/gasp saldırısı, saldırganların Medibank’ın BT yüklenicisinin bir çalışanının özel bilgisayarından çalınan oturum açma kimlik bilgilerinden yararlanmasıyla başlatıldı.
Avustralya Bilgi Komiseri’nin (AIC) Avustralya Federal Mahkemesi’ne sunduğu açıklamaya göre, kimlik bilgileri, çalışanın “bir dizi Medibank hesabına ait Medibank kullanıcı adını ve şifresini kişisel internetine kaydetmesinin ardından bilgi hırsızlığı yapan kötü amaçlı yazılım yoluyla çalındı.” Medibank’a bilişim hizmeti verdiği iş bilgisayarındaki tarayıcı profilini oluşturduktan sonra kişisel bilgisayarındaki internet tarayıcı profiline giriş yaptı.
Sonuç? Kimlik bilgileri kişisel bilgisayarıyla senkronize edildi ve bilgi hırsızının bunları ele geçirmesine olanak tanındı.
MFA yok ve göz ardı edilen uyarılar
Saldırganlar, Medibank’ın Microsoft Exchange sunucusunda oturum açmak ve Medibank’ın (Palo Alto Networks) “Global Koruma” VPN çözümünde kimlik doğrulaması yapmak ve oturum açmak için standart erişim ve yönetici Medibank hesabı için ele geçirilen kimlik bilgilerini kullandı (çünkü çok faktörlü kimlik doğrulama koruması etkin değildi) ).
Şirketin EDR yazılımı, “24 ve 25 Ağustos 2022’de veya civarında” şüpheli etkinlikleri tespit etti ve uyarılar gönderdi, ancak uyarılar “Medibank veya hizmet sağlayıcısı tarafından uygun şekilde önceliklendirilmedi veya iletilmedi.”
Saldırganlar, Medibank’ın çeşitli BT sistemlerini incelerken ortaya çıkarılan bu ve diğer kimlik bilgilerinden yararlanarak, daha sonra Medibank müşterilerinin kişisel ve sağlık bilgilerini içeren veritabanına erişti ve buradan 520 gigabaytlık veriyi sızdırdı.
Ancak 11 Ekim 2022’de Medibank’ın Güvenlik Operasyonları ekibi, bazı dosyaların ProxyNotShell güvenlik açığından yararlanılabilecek şekilde değiştirildiğine dair bir uyarı uyarısı tetiklediğinde, şirket bir şeylerin ters gittiğini fark etti. Verilerin sızdırıldığını keşfetmeleri ise beş gün daha sürdü.
Saldırganlar, hassas verileri kamuya açıklamakla tehdit ederek Medibank’ı şantaj yapmaya çalıştı. Bu da işe yaramayınca 9,7 milyon kayıtın tamamı dark web’de yayınlandı.
Veriler olması gerektiği gibi korunmadı
İhlalin ardından Avustralya Bilgi Komiserliği Ofisi (OAIC), ülkedeki en büyük özel sağlık sigortası sağlayıcılarından biri olan Medibank’ın müşterilerinin verilerini korumak için “makul adımlar” atıp atmadığını belirlemek için bir soruşturma başlattı. AIC açıklamasına göre bunu yapmadılar.
Ayrıntılar düzeltildi ancak AIC, Medibank’ın “tuttuğu kişisel bilgilerin niteliği ve hacmi (…), büyüklüğü ve içinde faaliyet gösteren kuruluşların risk profili ile uyumlu olarak siber güvenlik ve/veya bilgi güvenliği riskini yeterince yönetemediğini söyledi. kendi sektörü.”
Başvurunun ekinde, Medibank’ın benimsemesi gereken bir takım önlemlere dikkat çekildi; bunlar arasında, ağ çevresine girdikten sonra Global Koruma VPN’ine ve kritik bilgi varlıklarına (yani müşteri veri tabanına) uzaktan erişim sağlayan kullanıcılar için çok faktörlü kimlik doğrulamanın uygulanması da vardı.
Başka bir ekte, MFA eksikliğiyle ilgili risklerin, çeşitli güvenlik denetimleriyle ortaya çıkması nedeniyle şirket tarafından bilindiği, ancak şirketin ihlal edilmeden önce güvenlik önlemini uygulama konusunda başarısız olduğu belirtiliyor.