Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Yama Yönetimi
Sağlık Sektörü MOVEit Güvenlik Açığıyla Bağlantılı İhlal Dalgasına Hazır
Marianne Kolbasuk McGee (SağlıkBilgisi) •
8 Haziran 2023
Bilgisayar korsanları, Progress Software’in MOVEit tarafından yönetilen dosya aktarım uygulamasındaki sıfır günü kullanarak Nova Scotia Health’in 100.000’e kadar çalışanının kişisel bilgilerini çaldı.
Ayrıca bakınız: 2022 Unit 42 Fidye Yazılımı Tehdit Raporu
Kadın ve çocuk sağlığı merkezinden yapılan duyuru, fidye yazılımı korsanlarının yazılımdaki artık yamalanmış bir güvenlik açığından yararlanarak veri elde ettiğine dair sağlık sektörü kuruluşlarından gelecek başka veri ihlali duyurularının habercisi olabilir.
ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi Cuma günü geç saatlerde yaptığı bir uyarıda, “Geniş kapsama alanı nedeniyle, bu güvenlik açığından yararlanılması sağlık ve halk sağlığı sektörünü büyük ölçüde etkileyebilir.”
Kanada’nın doğu kıyısındaki bir Denizcilik eyaleti olan Nova Scotia hükümeti, çalışanların bordro bilgilerini aktarmak için MOVEit hizmetini kullanıyor.
Bir Nova Scotia hükümet sözcüsü, Information Security Media Group’a “Şu anda, Nova Scotia Health, IWK Sağlık Merkezi ve kamu hizmetinin 100.000’e yakın eski ve şimdiki çalışanının kişisel bilgilerinin çalındığını doğrulayabildiğimiz tek şey” dedi.
“Bu sayı değişebilir. Artabilir veya azalabilir. Soruşturmamız devam ediyor ve daha fazla bilgi geldikçe kamuoyunu bilgilendirmeye devam edeceğiz.” Sözcü, hasta bilgilerinin etkilenmediğini söyledi.
Nova Scotia’nın siber güvenlik ve dijital çözümler servisi Salı günü yaptığı açıklamada, olayla ilgili soruşturmada, güvenliği ihlal edilmiş çalışan bilgilerinin sosyal sigorta numaraları, adresler ve banka bilgilerini içerdiğini belirledi.
Clop hizmet olarak fidye yazılımı çetesi, bu haftanın başlarında, Progress Software’in 31 Mayıs’ta yamaladığı MOVEit güvenlik açığından yararlanan saldırıların arkasında kendisinin olduğunu iddia etti (bkz:: Clop Fidye Yazılımı Çetesi MOVEit Örneklerini Hacklediğini İddia Etti).
Progress Software’e göre, hastanelerden, kliniklerden sigorta gruplarına kadar yüzlerce sağlık ve halk sağlığı sektörü kuruluşu, dosyaların aktarımı için MOVEit kullanıyor. Bu, sağlık hizmeti faturalandırması, sigorta uygunluk sorgulamaları, sağlık hizmetleri talepleri, denetim günlükleri, randevu hatırlatmaları, hasta anketleri ve tıbbi kayıtların hasta tarafından alınması için dosya aktarımını içerir.
Federal hükümet, “Tıbbi kayıtlar, banka kayıtları, sosyal güvenlik numaraları ve adresler gibi hassas bilgiler, bu güvenlik açığından yararlanılırsa risk altındadır. Hedeflenen kuruluş, mali amaçlı tehdit gruplarının gaspına maruz kalabilir.” MOVEit’i kullanan sağlık ve halk sağlığı sektörü kuruluşlarına “acil önlem” almalarını tavsiye etti.
Clop fidye yazılımı çetesi, kurbanlardan ilk önce haber almadığı takdirde 14 Haziran’dan itibaren kurbanların isimlerini yayınlamaya başlayacağı konusunda uyardı. Ayrıca, “hükümet, şehir veya polis teşkilatı” kaynaklarından elde edilen verileri, “Bu tür bilgileri ifşa etmeye ilgimiz olmadığı için” sildiğini iddia etti.
Bazı güvenlik uzmanları, MOVEit’in kullanımının çok geniş olduğunu söylüyor. Google Cloud’un bir birimi olan Mandiant Consulting’in baş teknoloji sorumlusu Charles Carmakal, “İhlalleri araştırdığımız sektörlere örnek olarak imalat, yüksek öğrenim, savunma müteahhitleri, sağlık, devlet hükümeti, enerji, finans vb. dahildir” dedi. MOVEit saldırılarını izleyen.
MOVEit ile ilgili durum, bu yılın başlarında başka bir güvenli dosya aktarım uygulaması olan Fortra’nın GoAnyWhere MFT’sindeki bir güvenlik açığını içeren benzer bir dizi saldırıyı takip ediyor (bakınız: Kurban Makinelere Fortra Hacker Yüklü Araçlar).
ISMG’ye verdiği demeçte Carmakal, “Her iki teknoloji de FIN11 tarafından sıfır gün güvenlik açığı olarak topluca kullanıldı.” “Tehdit aktörü, her iki durumda da birkaç müşteriden veri çaldı.”
Carmakal, risk oluşturan yönetilen dosya aktarım platformlarının tehdit aktörleri için çekici olduğunu, çünkü kuruluşların bu uygulamaları hassas verileri depolamak ve ortaklarına ve müşterilerine aktarmak için sıklıkla kullandığını söyledi.
“Satıcılar onları olabildiğince güvenli hale getirmeye çalışıyor, ancak tehdit aktörleri ve yazılım satıcıları arasında her zaman devam eden bir yarış olacak” dedi.