Rhysida 2 Sağlık Sisteminden Daha Büyük Veri Hırsızlığı İddiası

Rhysida’nın son iddia edilen kurbanları arasında, birkaç hastanesi, 4.000 çalışanı ve 650 doktor ve diğer klinisyenleri bulunan, kar amacı gütmeyen bir sağlık sistemi olan Delaware merkezli Bayhealth ile ruhsal hastalık, bağımlılık, barınma sorunları ve travmayla ilgili sorunlarla uğraşan bireylere programlar sunan Rhode Island merkezli Community Care Alliance yer alıyor.

Rhysida, Bayhealth hastalarının kişisel bilgilerini çaldığını ve 25 bitcoin veya yaklaşık 1,5 milyon dolar ödeme talep ettiğini iddia ediyor. “Sadece 7 gün kala, özel, benzersiz ve etkileyici veriler için teklif verme fırsatını yakalayın. Cüzdanlarınızı açın ve özel verileri satın almaya hazır olun. Sadece bir kişiye satıyoruz, yeniden satış yok, tek sahibi siz olacaksınız!” diye övündü Rhysida, Cuma günü Bayhealth için yaptığı karanlık web listesinde.

Bayhealth Başkanı ve CEO’su Terry Murphy, Information Security Media Group’a yaptığı açıklamada, kuruluşun yakın zamanda ağında alışılmadık bir aktivite tespit ettiğini ve saldırganların kuruluşun verilerine sahip olduklarını iddia ettiğini söyledi.

Murphy, “7 Ağustos’ta, üçüncü bir tarafın Bayhealth verilerini aldığını ve yayınladığını iddia ettiğini öğrendik. Durum geliştikçe paydaşları uygun şekilde bilgilendirmeye devam edeceğiz” dedi.

Olay keşfedildikten sonra Bayhealth, belirli harici sistemlerden bağlantıyı kesmek de dahil olmak üzere olası riskleri azaltmak için proaktif önlemler aldı, dedi. Murphy, “Bu eylem, sınırlı sayıda sisteme erişimde geçici kesintilere yol açtı,” dedi.

Bayhealth, olayın niteliğini ve kapsamını belirlemek için üçüncü taraf bir adli tıp firmasıyla birlikte bir soruşturma başlattı.

“Soruşturma devam ederken dış bağlantıları yeniden kurduk ve şu anda normal kapasitede çalışıyoruz.”

Bayhealth, Rhysida’nın saldırının arkasında olup olmadığı konusunda ISMG’ye yorum yapmadı.

Rhysida’nın Community Care Alliance için hazırladığı karanlık web sitesinde siber suç grubu, adresler, Sosyal Güvenlik numaraları, telefon numaraları ve kredi kartı numaraları gibi kişisel bilgileri içeren 2,5 terabayttan fazla veri içeren bir SQL veritabanını çaldığını iddia ediyor.

Community Care Alliance, ISMG’nin Rhysida’nın iddiaları hakkındaki yorum talebini reddetti. Toplum hizmetleri organizasyonu Cuma günü iddia edilen olay hakkında web sitesinde bir duyuru veya açıklama yayınlamadı.

Diğer Mağdurlar

Rhysida, sağlık sektöründe son dönemde yaşanan bir dizi dikkat çekici saldırının merkezinde yer aldı. Bunlardan biri de Chicago’daki Ann & Robert H. Lurie Çocuk Hastanesi’ne düzenlenen ve haftalarca çocuk hastanelerinin BT sistemlerini bozan ve yaklaşık 776.000 kişiyi etkileyen veri hırsızlığına yol açan saldırıydı.

Cuma günü itibarıyla Lurie Children’s hala Rhysida’nın karanlık web sitesinde kurban olarak listelenmişti. Fidye yazılımı grubu Şubat ayında “özel verileri” 3,4 milyon dolara satışa çıkardı (bkz: Rhysida Çocuk Hastanesi Verilerini 3,4 Milyon Dolara Satmayı Teklif Ediyor).

Rhysida ayrıca geçen yıl Kaliforniya merkezli Prospect Medical Holdings’e düzenlenen ve birkaç eyaletteki 16 hastanede BT operasyonlarını aksatan bir saldırının sorumluluğunu üstlendi. 1,3 milyon kişiyi etkileyen bir veri ihlaliyle sonuçlanan bu saldırı, Prospect Medical için hala artan iş ve hukuk baş ağrılarına neden oluyor.

Kuruluş, ihlal edilen verilerle ilgili olarak birleşik bir federal toplu dava teklifiyle karşı karşıya ve eyaletteki birkaç Prospect Medical hastanesini satın almayı planlayan Connecticut merkezli bir sağlık hizmeti sağlayıcısıyla davaya kilitlenmiş durumda. Anlaşma, siber saldırının söz konusu tesislerin mali koşullarını kötüleştirdiği ve diğer eksiklikleri ortaya çıkardığı iddia edilmeden önce imzalandı (bkz: Prospect Medical, 2023 Saldırısından Dolayı Daha Fazla Hukuki Sonuçla Karşı Karşıya).

Ancak Rhysida yalnızca sağlık sektörü kuruluşlarını hedef almıyor. Grubun web sitesinde eğitim kurumları ve devlet kurumları da dahil olmak üzere 112 mağdur örgütü listeleniyor.

Bunların arasında Ohio, Columbus Şehri’ne yakın zamanda yapılan bir saldırı da var. Rhysida, 6,5 TB’lık veri tabanlarını, çalışanların dahili oturum açma bilgilerini ve şifrelerini ve çetenin şehirden çaldığını iddia ettiği “şehrin acil servis uygulamalarının bulunduğu sunucuların tam bir dökümünü, şehir video kameralarından erişimi” satıyor.

GuidePoint Security’nin kıdemli tehdit danışmanı Jason Baker, Rhysida’nın fidye yazılımı operasyonlarının, güvenlik uzmanlarının ilk olarak kurbanların grubun veri sızıntısı sitesine gönderildiğini gözlemlediği 2023 yılının Haziran ayına kadar uzandığını söyledi.

“Bu süre zarfında grubun 114 kurbanı ifşa ettiğini gördük – ifşa etmeden önce fidye ödemeyi seçenler hariç” dedi.

Rhysida, 2023 yılı sonundan günümüze kadar yapılan bazı güvenlik araştırmalarında, artık faaliyette olmayan Vice Society fidye yazılımı ve gasp grubuyla aralarında, büyük ölçüde eğitim ve sağlık kuruluşlarına vurgu yapılması, ardışık operasyonlar ve taktik, teknik ve prosedürlerde bazı örtüşmeler temelinde bağlar bulunduğunu söyledi.

Baker, “Rhysida’yı Vice Society’nin toptan ‘yeniden markalaşması’ olarak nitelendirmek için yeterli veri ve raporlamaya dayalı güvenimiz yok, ancak eski Vice Society operatörlerinin Rhysida’nın iştirakleri olarak katılımı mümkün,” dedi.

Rhysida’nın 2024 yılı başından bu yana diğer fidye yazılımı gruplarıyla karşılaştırıldığında dikkat çekici olduğunu ancak kurban sayısı bakımından en üretken suçlu olmadığını söyledi.

LockBit grubu, sağlık kuruluşlarına yönelik gözlemlenen saldırıların %17’sini oluşturuyor, ardından %10 ile Bianlian ve her biri saldırıların %7’sini oluşturan Hunters International, INC Ransom ve RansomHub geliyor, dedi. Baker, bunun sağlık saldırılarının yalnızca yaklaşık %3’ünü oluşturan Rhysida’yı geride bıraktığını söyledi.