Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Fidye Yazılımı Çetesi Axis Health’in Ruh Sağlığı ve Uyuşturucu Bağımlılığı Kayıtlarına Sahip Olabilir
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
11 Ekim 2024
Fidye yazılımı çetesi Rhysida, yaklaşık 1,5 milyon dolar ödemediği takdirde Colorado’daki akıl sağlığı, madde bağımlılığı ve diğer sağlık hizmetleri sağlayıcısına ait verileri karanlık ağa boşaltmakla tehdit ediyor. Grup, Mississippi’deki bir huzurevine yapıldığı iddia edilen saldırıda çalınan kayıtları sızdırıyor.
Ayrıca bakınız: İşletmenizin Başarısını Artırmaya Yönelik Varsayılan Olarak Güvenli Strateji
Birinci basamak sağlık hizmetlerinden psikiyatrik değerlendirmelere, ruh sağlığı kriz yönetimi ve uyuşturucu bağımlılığı tedavisine kadar çeşitli hizmetler sunan, kar amacı gütmeyen bir sağlık kuruluşu olan Axis Health System ve kısa ve uzun vadeli bakım ve rehabilitasyon hizmetleri sunan Golden Age Huzurevi, Rhysida’nın hizmetleri arasında yer alıyor. Sağlık sektörü mağduru olduğu iddia edilenlerin giderek büyüyen listesi.
Cuma gününden itibaren Rhysida, Axis Health’i karanlık web sitesinde listeledi ve 25 bitcoin (veya yaklaşık 1,48 milyon dolar) ödenmediği takdirde tıbbi bakım sağlayıcısının verilerini altı gün içinde yayınlamakla tehdit etti.
Axis Health web sitesinde, kuruluşun yakın zamanda bir siber olaya maruz kaldığını belirten bir bildirim yayınlandı. Bildirimde, Axis Health “olay müdahale protokolünü hızlı bir şekilde takip etti ve faaliyeti durdurmak ve olayın niteliğini ve kapsamını araştırmak için adımlar attı. Hasta verilerinin etkilendiği belirlenirse, etkilenen kişilere doğrudan posta yoluyla bilgi verilecek” denildi.
Axis Health ayrıca birinci basamak hasta portalının “şu anda çevrimdışı” olduğunu söyledi.
Axis Health, Bilgi Güvenliği Medya Grubu’nun yorum talebine hemen yanıt vermedi.
Rhysida, karanlık web sitesinde ayrıca Mississippi’deki Altın Çağ Bakımevi’nden yakın zamanda bir veri soygunu yapıldığını iddia ediyor. Çete, Altın Çağ’a ait olduğu iddia edilen tıbbi kayıtlar ve taburcu raporları da dahil olmak üzere 102 Gbyte ve 35.310 dosya yayınlamaya başladığını söyledi.
Golden Age, ISMG’nin yorum talebine hemen yanıt vermedi ve Cuma günü itibarıyla web sitesinde herhangi bir güvenlik olayı iddiasıyla ilgili henüz bir bildirim bulunmuyor.
Bu yıl şimdiye kadar Rhysida, Chicago’daki Ann & Robert H. Lurie Çocuk Hastanesi, Delaware’deki Bayhealth ve Rhode Island’daki Community Care Alliance da dahil olmak üzere sağlık kurumlarına yönelik çok sayıda başka saldırıyı üstlendi (bkz: Rhysida, 2 Sağlık Sisteminden Daha Büyük Veri Hırsızlıklarını İddia Ediyor).
Rhysida ayrıca geçen yıl Kaliforniya hastane zinciri Prospect Medical’e düzenlenen saldırıdan da pay aldı (bkz: Prospect Medical, 2023 Hack’inden Daha Fazla Yasal Etkiyle Karşı Karşıya).
Cuma günü itibarıyla çete, karanlık web sitesinde yaklaşık Haziran 2023’e kadar uzanan yaklaşık 105 kuruluşu listeledi.
İlk olarak Mayıs 2023 civarında ortaya çıkan Rhysida, ABD Sağlık ve İnsani Hizmetler Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi’nin biri Ağustos 2023’te, diğeri Ocak ayında olmak üzere iki tavsiyesine konu oldu. Güvenlik araştırmacıları, grubun Rusya’da veya komşu Bağımsız Devletler Topluluğu’nda bulunduğunu düşünüyor (bkz.: Yetkililer Sağlık Sektörünü Rhysida Group’un Saldırıları Konusunda Uyardı).
Önemli Tehdit
Grup ayrıca geçen Kasım ayında Rhysida hakkında ortak bir uyarı yayınlayan FBI ve CISA dahil olmak üzere diğer federal kurumların da dikkatini çekti.
HHS HC3, Rhysida’nın MINGW/GCC kullanılarak derlenen 64 bitlik taşınabilir, çalıştırılabilir bir Windows kriptografik fidye yazılımı uygulaması olduğunu söyledi.
HHS HC3, çifte gasp çetesinin kötü amaçlı yazılımını çeşitli şekillerde dağıttığını söyledi. Bu, kimlik avı saldırıları yoluyla hedef ağların ihlal edilmesini ve “Cobalt Strike veya benzeri komuta ve kontrol çerçevelerinin ilk kez konuşlandırılmasından sonra risk altındaki sistemlere yüklerin bırakılmasını” içerir.
Diğer uzmanlar da Rhysida’nın sağlık sektörü için önemli bir tehdit oluşturduğu konusunda hemfikir.
GuidePoint Security’nin baş güvenlik danışmanı Jason Baker, Rhysida’nın piyasadaki en “üretken” fidye yazılımı grupları olmasa da, çetenin Mayıs 2023’ten bu yana sürekli olarak faaliyet gösterdiğini ve artık bir hizmet olarak fidye yazılımı grubu olarak kabul edildiğini söyledi.
“Rhysida, sağlık kuruluşlarını etkilerken hacim açısından en kötü suçlular oldukları için öne çıkıyor” dedi.
“Rhysida aslında açık ara yedinci sırada yer alıyor ve gözlemlenen sağlık hizmeti saldırılarının %4,4’ünü oluşturuyor; %14,8 ile LockBit’in, %10 ile RansomHub’un ve %9,1 ile BianLian’ın çok gerisinde kalıyor.
Kendisi, “kar amacı gütmeyen kuruluşlar, hayır kurumları ve ölüm kalım bakımı sağlayan hassas sağlık kuruluşlarını da içerdiği defalarca gösterilen”, vurdukları kurbanların hassasiyeti nedeniyle grubun en endişe verici tehdit aktörleri arasında değerlendirildiğini söyledi.
Güvenlik firması Neovera’nın CEO’su Scott Weinberg, “Çok sıkı denetimlere tabi olan ve hassas hasta kayıtlarını ve savunmasız hayat kurtarma sistemlerini içeren sağlık sektörü, önümüzdeki yıllarda da Rhysida gibi kötü aktörlerin saldırısı altında olmaya devam edecek” dedi.
“Sağlık hizmeti sağlayıcıları, en son tehditlerle güncel olduklarından ve siber ekiplerini yönetmek için deneyimli bir CISO’nun öncülüğünde sürekli bir siber tehdit yönetimi ve yanıt programına sahip olduklarından emin olmalıdır.”
Güvenlik firması Semperis’in baş teknoloji uzmanı Sean Deuby, bu arada Rhysida’nın FBI ve CISA dahil olmak üzere hükümet yetkililerinin izleme listesinde olmaya devam ettiğini söyledi.
“Operasyonlarındaki aksamalar her iki kurum tarafından da memnuniyetle karşılanacaktır” dedi. “Hiçbir saldırı kabul edilemez, ancak Ocak ayında Lurie Çocuk Hastanesi’ne yapılan fidye yazılımı saldırısı iğrenç, çünkü bu dünyaca ünlü bakım merkezi en savunmasız gençlerimizi kanserle tedavi ediyor” dedi.
“Fidye yazılımı çetelerinin hastanelere saldırmasının tesadüf olmadığı konusunda şüpheniz olmasın. Bunun nedeni, sistemlerin çökmesi ve hastaların hayatlarının riske atılması durumunda hastanenin fidye ödeme olasılığının daha yüksek olacağını bekledikleri için hesaplanmıştır.”