Siber suç, veri ihlali bildirimi, veri gizliliği
Ruh Sağlığı Sağlayıcısı, Kansas Clinics siber suçlu çetenin en son kurbanlarıdır
Marianne Kolbasuk McGee (Healthinfosec) •
10 Mart 2025
Kansas merkezli bir tıbbi uygulama ve Rhode LSland merkezli bir ruh sağlığı ve bağımlılık danışmanlığı ve ilgili hizmetler sağlayıcısı, Rusça konuşan siber suçlu çete Rysida’nın önemli veri ihlallerini bildiren sağlık kuruluşlarının artan bir listesindeki en son kurbanlardır.
Ayrıca bakınız: 2024 Sahtekarlık Anlaşmaları Raporu
Kansas City bölgesinde acil bakım, pediatrik bakım ve diğer bir dizi hizmet sunan dört klinik işleten Sunflower Medical Group, Cuma günü Maine Başsavcısının yaklaşık 221.000 kişiyi etkilediğini söyledi.
Aynı gün, Rhode Island’daki akıl hastalığı, bağımlılığı, konut sorunları ve travma ile ilgili sorunlarla ilgilenen bireyler için programlar sunan Toplum Bakımı İttifakı, Maine düzenleyicilerine yaklaşık 115.000 kişiyi etkileyen bir hack olayı bildirdi (bakınız: Rhysida, 2 sağlık sisteminden büyük veri hırsızlığı iddia ediyor).
Ransomware Gang Rhysida, bu hacklerde çalındığı iddia edilen hassas bilgileri, karanlık web sızıntısı sitesinde satışa sunuyor. Bu, 400.000’den fazla sürücü lisansı, sigorta kartı ve sosyal güvenlik numaraları içeren Sunflower Medical Group’a ait olduğu iddia edilen 3 terabayt SQL veritabanını ve ayrıca kişisel müşteri verileri, adresler, sosyal güvenlik numaraları, telefon numaraları ve kredi kartlarını içeren 2,5 terabaytlık topluluk bakımı ittifakı SQL veritabanı içerir.
Bunlar, Rhysida’nın Pazartesi günü karanlık ağ sızıntı alanında, diğer akıl sağlığı ve bağımlılık klinikleri, ortopedik ve dişhekimliği uygulamaları gibi özel tıbbi gruplar ve bir bakım evi gibi diğer sağlık sektörü kuruluşları da dahil olmak üzere yaklaşık 169 kurbandan sadece ikisi.
Pediatrik Hastanesi Ann ve Robert H. Şubat 2024’te fidye yazılımı saldırısı ile kesintiye uğrayan Chicago Çocuk Hastanesi, sağlık sektörü kurbanları arasında “satılan tüm veriler” olduğu için listeleniyor (bkz:: Rhysida, çocuk hastanesi verilerini 3.4 milyon dolara satmayı teklif ediyor).
Aynı ay Rhysida, 312 yataklı Pediatrik Araştırma Hastanesi’nden verileri 60 bitcoin veya yaklaşık 3.4 milyon dolar için listeledi. Rhysida’nın Çocuk Hastanesi verilerinin gerçek satışından ne kadar aldığı belli değil.
Ancak sağlık sektörü kuruluşlarının yanı sıra, Rhysida’nın listelenen kurbanları ayrıca çeşitli okullar, yerel yönetim ajansları, hukuk firmaları ve teknoloji hizmetleri satıcıları, bakım şirketleri, bahçe fidanlıkları ve diğer birçok kuruluş da dahil olmak üzere diğer işletmelerin bir hodgepodge’unu içeriyor.
İlk olarak Mayıs 2023 civarında ortaya çıkan Rhysida, ABD Sağlık ve İnsan Hizmetleri Sağlığı Sektörü Siber Güvenlik Koordinasyon Merkezi’nden – biri Ocak 2023’te ve diğeri Ocak 2024’te en az iki tavsiyeye konu olmuştur. Güvenlik araştırmacıları, grubun Rusya’da veya komşu bağımsız eyaletlerin topluluğunda bulunduğuna inandığına inanıyor (bakınız: Yetkililer Rhysida Grubu’nun Sağlık Sektörünü Saldırılarla Uyar).
Rhysida ayrıca Kasım 2023’te Siber Güvenlik ve Altyapı Güvenlik Ajansı, FBI ve Çok Devlet Bilgi Paylaşımı ve Analiz Merkezi’nden ortak bir uyarının konusu oldu.
GuidePoint Security güvenlik danışmanı yöneten Jason Baker, “Rhysida, birçok fidye yazılımı grubu gibi, hem savunmasız hem de hizmetlerinin kritikliği ve ilgili verilerin duyarlılığı nedeniyle fidye ödeme olasılığı daha yüksek olan kuruluşlara odaklanıyor.” Dedi.
“Sağlık hizmeti sağlayıcıları genellikle yüksek miktarda hassas hasta bilgisine sahip olmasına rağmen sınırlı güvenlik kaynakları ile çalışır. Bu yetersiz savunma ve yüksek değerli verilerin bu kombinasyonu cazip hedefler oluşturur.” Dedi. Benzer şekilde – okullar ve eğitim kurumları da dahil olmak üzere diğer Rhyida kurbanlarının tipik olarak BT departmanlarını, modası geçmiş sistemleri ve güvence altına alınması zor olabilecek dağıtılmış altyapı olduğunu söyledi.
“Hassas bilgiler, özellikle reşit olmayanlarla ilgili veya hassas konularla ilgili olduğu için, Rhyida ve benzer gruplar tarafından artan zorlayıcı kaldıraç olarak algılanabilir.”
Sunflower Medical Group Hack’e gelince, sağlık hizmeti sağlayıcısı, web sitesinde yayınlanan bir ihlal bildirisinde, 7 Ocak’ta bilgisayar ağı içindeki şüpheli etkinliğin farkına vardığını söyledi.
Sunflower’ın soruşturması, bilinmeyen bir üçüncü tarafın uygulamanın sistemlerine 15 Aralık 2024’te veya yaklaşık 15 Aralık 2024’te eriştiğini ve bu süre zarfında Sunflower’ın sistemlerinden dosyaların kopyalarını aldığını buldu.
Sunflower, olaydan etkilenen bilgi türünün bireye göre değiştiği ancak aşağıdakilerden birini veya daha fazlasını içerebileceğini söyledi: Sunflower, ad, adres, doğum tarihi, sürücü belgesi, tıbbi bilgiler ve sağlık sigortası bilgileri.
Sunflower’ın ihlal bildirimi Rhysida’dan bahsetmiyor ve tıbbi uygulama, bilgi güvenliği medya grubunun Rhysida’nın iddiaları hakkında yorum talebine hemen yanıt vermedi.
Toplum Bakım İttifakı, ihlal bildiriminde, hackleme olayıyla ilgili soruşturmasının, 1 Temmuz ve 5 Temmuz 2024 tarihleri arasında belirli bilgilere “yetkisiz bir birey” tarafından erişilebileceğini veya edinilmiş olabileceğini belirlediğini söyledi.
8 Ocak’ta tamamlanan soruşturma, olayda potansiyel olarak etkilenen bilgi türlerinin bireylerin adı, adresi, doğum tarihi, ehliyet numarası, tanı ve tıbbi durum, laboratuvar sonuçları, ilaçlar, hasta kimlik numarası, sağlık sigortası bilgileri, sağlayıcı adı ve diğer tedavi bilgilerini içerdiğini buldu.
Community Care Alliance, olay hakkında kolluk kuvvetleriyle temasa geçtiğini ve gelecekteki benzer bir olay riskini en aza indirmek için ek güvenlik önlemleri uyguladığını söyledi.
Toplum Bakımı İttifakı, ISMG’nin Rhysida’nın iddiaları hakkında yorum talebine hemen yanıt vermedi.
Tabii ki, Rhysida saldırıları son büyük sağlık verileri ihlallerine neden olan tek hackler değildir. Sindirim Sağlığı Merkezi olarak iş yapan Central Florida Gastroenterology Associates Perşembe günü Maine düzenleyicilerine 122.400’den fazla kişinin Nisan 2024 hack olayından etkilendiğini bildirdi.
Fidye yazılımı grubu Bianlian, sızıntı bölgesinde Sindirim Sağlığı Merkezini, hastaların fiziksel ve tıbbi geçmiş sınav kayıtlarının yanı sıra muhasebe, bütçe ve finansal veriler de dahil olmak üzere uygulamanın verilerinin 2.2 terabaytına sahip olduğunu iddia ediyor.
Sindirim Sağlığı Merkezi, ISMG’nin Bianlian’ın iddiaları hakkında yorum talebine hemen yanıt vermedi.