Norton Healthcare siber saldırısına ilişkin ilk güncellemenin gelmesinden haftalar sonra, ALPHV/BlackCat fidye yazılımı grubu bunun bir fidye yazılımı saldırısı olduğunu açıkladı.
Norton Healthcare daha önce, 9 Mayıs’ta şüpheli bir mesaj aldıktan sonra bir “siber olayı” duyurmuştu. Tehdit istihbaratı araştırmacısı Brett Callow, Norton Healthcare siber saldırısından sızan verilerin aşağıdaki bulanık ekran görüntüsünü yayınladı.
Norton Healthcare siber saldırısı
ALPHV, sızıntı sitesine yazdı Norton yöneticilerine ve yönetim kurulu üyelerine verilen sürenin tükendiğini ve müşterilerinin ve çalışanlarının mahremiyetini korumaya çalışmadıklarını söyledi. “Son haberlerde yanlış beyanlarda bulunuyorlar ve insanlara faks aldıklarına dair yalan söylüyorlar…”
Fidye yazılımı grubu, çalınan tüm verileri yok edeceklerini ve onlara Norton Healthcare siber saldırısından ayrıntılı bir güvenlik raporu vereceklerini söyledi.
Fidye yazılımı grubu, Norton fidye yazılımı saldırısında çaldıkları hasta verilerini riske atma konusundaki sorumsuzlukları nedeniyle Norton Healthcare yetkililerinin dava edilmesi hakkında bir yaygara kopardı.
Grup, fotoğrafları, milyonlarca SSN kaydını, 25.0000 çalışan verisini, klinik görüntüleme verilerini vb. sızdırdı. ALPHV gönderisi, fidye ödeme tarihini bir hafta daha uzattı ve ardından talepleri karşılanmazsa verileri sızdıracaklar.
Bu, grubun Norton Healthcare için son uyarısıydı.
Norton Healthcare siber saldırısının geçmişi
Norton Healthcare siber saldırısı, şirketin hizmetlerini etkileyen bir BT kesintisi hakkında Facebook’ta duyuru yaptığı 10 Mayıs’ta gün ışığına çıktı.
Norton Healthcare siber saldırısı nedeniyle kesintiye uğrayan hizmetler, sağlık hizmetinin elektronik tıbbi kayıt yazılımı olan Norton eCare ve Norton My Chart idi.
İki gün sonra Norton Healthcare, Facebook’ta bunun gerçekten bir siber saldırı olduğunu açıkladı.
“İncelememiz devam ediyor olsa da, ilk analiz Norton Health care’in bir siber olayın kurbanı olduğunu doğruladı.” Tıbbi muayenehanelerin ve diğer tesislerin açık olduğunu ve bakıcıların erişilebilir sistemlerin yokluğunda gerekli protokolleri sürdürdüğünü doğruladılar.
Norton Healthcare siber saldırısıyla ilgili diğer güncellemeler, Facebook’ta 16 Mayıs’ta siber saldırının 9 Mayıs’ta gerçekleştiğini ve ardından BT sistemlerinin çevrimdışı duruma getirilmesi gerektiğini açıklayan bir bildirimle geldi.
“Neden kimse seçmeli olmayan, zamana duyarlı, iptal edilen veya programlanmayan ameliyatlardan bahsetmiyor? Bir Facebook kullanıcısı, ameliyatlardan önce, sonra veya ameliyatlar sırasında hiçbir görüntü okunmuyor, görüntü alınamıyor” yanıtını verdi.
Norton Healthcare siber saldırısıyla ilgili diğer ayrıntılar
Birkaç hasta, Norton Healthcare siber saldırısı nedeniyle raporlar ve sonuçlar için ertelenen sağlık hizmetleri hakkında konuştu.
Sağlık hizmetleri tarafından bugün yapılan son uyarı, tüm operasyonları sürdürmeye ve sistemleri tekrar çevrimiçi hale getirmeye daha yakın olduklarını garanti etti.
24 Mayıs’ta güncellenen sağlık hizmeti haber bültenine göre, aşağıdaki hizmetler Norton Healthcare siber saldırısından etkilendi:
- Hastalıklar veya küçük yaralanmalar için aynı gün randevu
- Acil Bakım
- Sınavlar ve randevular dahil olmak üzere bazı prosedürlerin yeniden planlanması gerekiyordu.
- Test sonuçlarını ve görüntüleri paylaşma
- Reçete dolumu
- Norton MyChart için çevrimiçi ödemeler
“Topluluğa, süreçlerimizin artık biraz farklı olduğunu bildiğimizi bildirmek istiyoruz. Bakımın devam edebilmesi için biraz farklılar,” 24 Mayıs tarihli bir WDRB raporunda Norton Healthcare’in baş pazarlama ve iletişim sorumlusu Renee Murphy’den alıntı yapıldı.
“Siber olayda başımıza gelenler, yine başımıza gelen bir şeydi ve buna göre, bakımın devam edebileceği şekilde yanıt verdik” dedi.
Ne kadar verinin çalındığı ve ALPHV fidye yazılımı grubunun Norton Healthcare siber saldırısından çalınan veriler için talep ettiği miktar net değil. Cyber Express sağlık hizmetlerine ulaştı ve onlardan bir yanıt alır almaz bu raporu güncelleyeceğiz.
Norton Healthcare, Louisville genelinde yılda yaklaşık 600.000 hastaya hizmet vermektedir. Beş hastane, sekiz ayakta tedavi merkezi, 18 acil bakım kliniği ve 289 doktor muayenehanesi ile 4,7 milyar dolar değerinde varlığa sahiptir.
BlackCat fidye yazılımı ve ABD sağlık hizmetleri
ALPHV/BlackCat fidye yazılımı grubu, bugüne kadar kurban sayısına göre ilk üç fidye yazılımı çetesi arasında yer alıyor. Sağlık sektörü tercih edilen hedeflerinden biri olmaya devam etmektedir.
Ocak ayında ABD Sağlık ve İnsani Hizmetler Departmanının Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, BlackCat fidye yazılımı grubunun sağlık sektöründeki operasyonları, özellikle de üçlü gasp taktiği hakkında uyarıda bulundu.
Bu, verileri şifrelemeye ve fidye talep etmeye ek olarak, grubun ayrıca fidye ödenmezse verileri sızdırmak ve dağıtılmış hizmet reddi saldırıları başlatmakla tehdit ettiği anlamına gelir.
BlackCat’in Darkside ve BlackMatter’dan ortaya çıktığına inanılıyor ve REvil grubunun eski üyeleriyle bağlantılı.
BlackCat, 1,5 milyon dolara varan fidye ödemeleri talep etti ve iştirakler, haraç ödemelerinin %80 ila %90’ını alıkoydu. Grup, test ve kullanım döngülerinden geçerken araçlarını ve cephaneliğini sık sık güncelleyerek onu dinamik ve gelişen bir tehdit haline getiriyor.
Güvenlik araştırmacıları, BlackCat saldırganlarının etkilenen sistemlerde Cobalt Strike işaretlerini indirmek için bir PowerShell komutu ve ayrıca Cobalt Strike’a benzer uzaktan erişim özellikleri sergileyen Brute Ratel adlı bir penetrasyon testi aracı kullandığı örnekleri belirledi.
BlackCat tarafından kullanılan şifreleme yöntemleri, altı şifreleme modunun yanı sıra ChaCha20 ve AES’yi içerir: Full, HeadOnly, DotPattern, SmartPattern, AdvancedSmartPattern ve Auto.
BlackCat’in bellek için güvenli ve platformlar arası programlama dili Rust’ta geliştirilen en son fidye yazılımı türü, gruba gelişmiş esneklik ve yetenekler sağlar.