Dolandırıcılık Yönetimi ve Siber Saldırı, Sağlık, Olay ve İhlal Yanıtı
Kettering Sağlık Saldırısı için Interlock Ransomware Gang’da parmağını işaret eden uzmanlar
Marianne Kolbasuk McGee (Healthinfosec) •
21 Mayıs 2025
Kettering Health, ikinci gününde hasta bakım hizmetlerini bozan ve hasta portalı ve telefonları da dahil olmak üzere BT sistemlerini düşüren bir siber saldırıya yanıt veriyor.
Ayrıca bakınız: En son Geter ATT & CK değerlendirmeleri için tam kılavuz
Medya raporları, olayın fidye yazılımı şifrelemesi ve veri hırsızlığı içerdiğini iddia ediyor ve bazı güvenlik uzmanları yeni gelen siber suçlu çete kilitlerinin saldırının merkezinde olduğundan şüpheleniyor.
Kettering Salı günü yaptığı açıklamada, belirli hasta bakım sistemlerine erişme yeteneğini sınırlayan sistem çapında bir teknoloji kesintisi yaşadığını söyledi. Kettering, “Bu tür durumlar için prosedürlerimiz ve planlarımız var ve şu anda tesislerimizdeki hastalar için güvenli, yüksek kaliteli bakım sağlamaya devam edeceğiz.” Dedi.
Salı günü, ketting tesislerinde seçmeli yatarak ve ayakta tedavi prosedürleri iptal edildi. Acil servisler ve klinikler açıktı. Örgüt, Kettering’in çağrı merkezi hala bir kesinti yaşıyor ve erişilemeyebilir.
Çarşamba günü geç bir güncellemede Kettering, hasta prosedürlerinin “en yüksek önceliğimiz olarak güvenliğe sahip” duruma göre değerlendirildiğini söyledi.
Kettering, MyChart gibi kişisel cep telefonu uygulamalarının veya içindeki bilgilerin tehlikeye atıldığına dair hiçbir kanıt olmadığını söyledi. Örgüt, “Kettering sağlığı asla sosyal medya aracılığıyla personele veya hastalara ulaşmayacak.” Dedi.
Yedinci Gün Adventist Kilisesi’ne bağlı Kettering, Batı Ohio’da 14 tıp merkezi ve 120’den fazla polikliniğe sahiptir ve 1.800’den fazla doktor ve 15.000 çalışana sahiptir.
Sağlık sistemi, kredi kartı ödemeleri isteyen kuruluştan tıbbi fatura tahsildarları gibi davranan dolandırıcıların aldatmaca çağrılarını uyardı.
Kettering, “Dikkat bol miktarda, bir sonraki duyuruya kadar telefon üzerinden ödeme istemek veya ödeme almak için çağrılar yapmayacağız.” Dedi. “Bir aldatmaca çağrısı alan herkesi yerel kolluk kuvvetlerine bildirmeye teşvik ediyoruz.”
Kettering, dolandırıcılıkların BT kesintisiyle ilişkili olup olmadığını doğrulamadığını söyledi.
Güvenlik firması Armis sağlık hizmetleri CTO’su Muhammed Waqas, kötü niyetli saldırganların fırsatçı olduğunu ve doğrudan bir olaya dahil olsun ya da olmasalar da, herhangi bir durumdan yararlanıyor.
Dolandırıcıların gerçek siber saldırıyı gerçekleştirmeye dahil olmaları gerekli değildir. “Hastalar, iptallerin kettering tarafından iletildiği randevularını yeniden planlamak için çağrılar bekliyor” ve siber suçlular “dedi.
Fidye yazılımı şüpheli
CNN ve Ohio yerel haber medya kuruluşları, kettering saldırısının fidye yazılımı şifrelemesi ve veri hırsızlığı içerdiğini bildiriyor.
Dayton Daily News, Siber suçlular 72 saat içinde çalınan verileri 72 saat içinde yok etmek ve sızmakla tehdit etti.
Bir ketting sözcüsü, saldırının fidye yazılımı içerip içermediği de dahil olmak üzere olay hakkında ayrıntılar vermeyi reddetti.
Güvenlik firması Semperis’in olay müdahalesi direktörü Jeff Wichman, bazı siber güvenlik içeriden gelenlerin, daha yeni bir fidye yazılımı çetesi olan Interlock’ta bir parmağı işaret ettiğini, Kettering olayının birincil suçluları olarak işaret ettiğini söyledi (bakınız: Fidye yazılımı sızıntı siteleri, saldırıların rekor seviyeye ulaşmasını önerir).
Aynı siber suç grubunun yakın zamanda ABD genelinde yaklaşık 3.000 merkezli bir böbrek bakımı ve diyaliz hizmetleri sağlayıcısı olan Davita’ya saldırdığını iddia etti (bkz:: Fidye yazılımı saldırısı küresel diyaliz sağlayıcısını bozar).
Interlock’un tipik saldırı modeli, genellikle kimlik avı veya maruz kalan uzak masaüstü protokolü veya VPN hesapları aracılığıyla kimlik temelli erişimdir. Yönetilen hizmetler firması Neovera’nın CEO’su ve kurucusu Scott Weinberg, Cobalt Strike veya şerit gibi yan hareket araçlarını kullanıyor. “Oradan, şifrelemeden önce verileri püskürtüyorlar” dedi.
“Şimdiye kadar, bunun yeni bir sıfır gün veya tedarik zinciri saldırısı olduğuna dair hiçbir belirti yok. Eski sistemlerden, düz ağlardan ve insan hatasından yararlanan klasik bir istismar gibi görünüyor. Bu sektörde tekrar tekrar gördüğümüz desene uyuyor.” Dedi.
Wichman, her zaman hastanelerin seçmeli yatarak ve poliklinik ameliyatlarını ve prosedürlerini iptal etmek zorunda kaldıklarını, hastaların yaşamları risk altında olduğunu söyledi. “İyi haber şu ki, personel hasta ziyaretlerini tamamlamak için kalem ve kağıt kullansa bile Kettering’in acil servis ve klinikleri açık kaldı.” Dedi.
Kettering Health, son aylarda ve yıllarda sıklıkla hasta bakım kesintileri ve ciddi veri ihlalleri ile sonuçlanan siber saldırılara maruz kalan diğer sağlık sektörü varlıklarının uzun ve büyüyen bir listesi arasında en son sağlıktır.
Wichman, “Sağlık sektörü yıllardır fidye yazılımı çetelerinin artı işaretlerinde.” Dedi.