Liverpool’daki Alder Hey Çocuk NHS Vakfı Vakfı, kendisi ve Liverpool Kalp ve Göğüs Hastanesi NHS Vakfı Vakfı tarafından işletilen ortak bir hizmetin, her iki hastanedeki ve Royal Liverpool Üniversite Hastanesindeki hasta verilerini etkileyen INC Ransom saldırısının kaynağı olduğunu ortaya çıkardı.
28 Kasım’da gün ışığına çıkan saldırı, Tröstlerin BT sistemlerinden sızan verileri gördü ancak birkaç gün önce ortaya çıkan ve Wirral Üniversite Hastaneleri NHS Vakfı vakfına yönelik ayrı bir fidye yazılımı saldırısıyla bağlantılı değil. RansomHub ekibi.
4 Aralık’ta paylaşılan bir güncellemede Alder Hey şunları söyledi: “Suçlular, Alder Hey ve Liverpool Kalp ve Göğüs Hastanesi tarafından paylaşılan bir dijital ağ geçidi hizmeti aracılığıyla verilere yasa dışı erişim elde etti.
“Bu, saldırganın Alder Hey Çocuk NHS Vakfı Vakfı, Liverpool Kalp ve Göğüs Hastanesi’nden veriler ve Royal Liverpool Üniversite Hastanesi’nden az miktarda veri içeren sistemlere yasadışı bir şekilde erişmesiyle sonuçlandı.
Vakıf, tam olarak hangi verilerin çalındığına ilişkin soruşturmanın devam ettiğini ve bunun biraz zaman alabileceğini söyledi. Fidye yazılımı çetesinin, soruşturması tamamlanmadan önce verileri yayınlayabileceği ihtimali olduğu konusunda uyardı; bu da, Birleşik Krallık’taki kamu sektörü politikası gibi, kararlı olduklarının ve taleplere direndiklerinin bir göstergesi.
“İnsanların verileri üzerindeki etkisine ilişkin güncelleme yapabildiğimiz anda, daha fazla güncelleme sağlayacağız. Etkilenen sistemlerin güvenliğini sağlamak ve kolluk kuvvetlerinin tavsiyeleri doğrultusunda daha ileri adımlar atmak için Ulusal Suç Teşkilatı ile çalışmalar devam ediyor. Ayrıca Bilgi Komiseri Ofisi’nin rehberliğini de takip ediyoruz ve bu veri ihlalinden etkilenen herkesle doğrudan iletişime geçilmesini ve desteklenmesini sağlayacağız” dedi Alder Hey.
Ayrıca, temel ön hat hizmetlerinin etkilenmediğini ve her zamanki gibi devam ettiğini, hastaların yine de randevulara planlandığı gibi katılması gerektiğini vurguladı.
Trust, toparlanma çabalarının güçlü bir ilerleme kaydettiğini ekledi. Açıklamada şu ifadelere yer verildi: “Bu tehdide yanıtımızın bir parçası olarak, etkilenen sistemlerin güvenliğini sağlama ve saldırganların erişime devam etmemesini sağlama konusunda ilerleme kaydettik. Bu, güvenli olduğunda sistemlerimizi yeniden bağlamaya başlayabilecek konumda olduğumuz anlamına geliyor.”
Citrix Bleed işin içinde miydi?
Alder Hey’in, INC Ransom’un operatörleri için giriş noktası olarak bir dijital ağ geçidi hizmetinin hizmet verdiği yönündeki iddiası, daha önceki raporları doğruluyor gibi görünüyor. Bilgi güvenliği – çetenin Trust tarafından işletilen bir Citrix örneğine saldırdığı.
Durum böyleyse çete muhtemelen Citrix NetScaler Application Delivery Controller (ADC) ve Citrix NetScaler Gateway cihazlarında CVE-2023-4966 olarak takip edilen ancak daha yaygın olarak Citrix Bleed olarak bilinen kritik bir güvenlik açığını kullandı.
2023’ün sonlarına doğru keşfedilen Citrix Bleed, hem oturumun ele geçirilmesine hem de verilerin ifşa edilmesine olanak tanıyor. Son 12 ayda en çok istismar edilen sıfır günlerden biri ve başta LockBit çetesinin dahil olduğu bir dizi yüksek profilli olay olmak üzere fidye yazılımı saldırılarında yaygın olarak kullanıldı. Secureworks’ün istihbaratına göre INC Ransom da büyük bir heyecanla bunu hedef aldı.
Secureworks Karşı Tehdit Birimi tehdit istihbaratı direktörü Rafe Pilling şunları söyledi: “Suç çeteleri bir sonraki ödeme arayışında fırsatçıdır, eylemlerinin etkisi onları ilgilendirmiyor. Buranın son derece uzmanlaşmış bir çocuk hastanesi olması uykularını kaçırmalarına neden olmayacaktır. Daha önce INC fidye yazılımını işleten grup GOLD IONIC’in NHS Dumfries ve Galloway’i vurduğunu görmüştük. Ön saflarda yer alan sağlık hizmetlerine yönelik bu saldırılar, bu sektörün hassas bir hedef olduğunu ve korunması gerektiğinin altını çiziyor.
“INC fidye, Secureworks CTU’nun geçen yıl gözlemlediği en aktif tehdit gruplarından biriydi ve Temmuz 2023’te faaliyete geçmişti. Kurbanları ağırlıklı olarak ABD’de bulunuyor, ancak küresel erişimi artıyor. Kurbanları çok çeşitli sektörleri temsil ediyor ancak en yaygın olanları sanayi, sağlık ve eğitim kuruluşlarıdır.”