Rhysida fidye yazılımı çetesi, 500.000 sosyal güvenlik numarasını, kurumsal belgeyi ve hasta kayıtlarını çaldığını iddia ederek Prospect Medical Holdings’e düzenlenen büyük siber saldırının sorumluluğunu üstlendi.
Saldırının, çalışanların ekranlarında ağlarının saldırıya uğradığını ve cihazların şifrelendiğini belirten fidye notları bulmasıyla 3 Ağustos’ta gerçekleştiğine inanılıyor.
Prospect Medical Holdings (PMH), Kaliforniya, Connecticut, Pensilvanya ve Rhode Island’da 16 hastaneyi ve 166 ayakta tedavi kliniği ve merkezinden oluşan bir ağı işleten bir ABD sağlık şirketidir.
Siber saldırı, hastanelerin saldırının yayılmasını önlemek için BT ağlarını kapatmasına neden oldu ve hastaneleri tekrar kağıt grafik kullanmaya zorladı.
PMH güvenlik olayıyla ilgili sorulara yanıt vermezken BleepingComputer daha sonra saldırının arkasında Rhysida fidye yazılımı çetesinin olduğunu öğrendi.
O tarihten bu yana, CharterCare gibi PMH hastane ağları artık sistemlerin yeniden çalışır durumda olduğunu ancak hasta kayıtlarının hâlâ geri yüklendiğini belirtiyor.
CharterCare.org’da bir duyuruda, “Sistemlerimiz elektronik tıbbi kayıt (EMR) sistemimizde çalışırken, bakıcılarımız tarafından kullanılan kağıt hasta kayıtlarının girilmesine yönelik çalışmalar devam ediyor” yazıyor.
Ancak BleepingComputer’a, saldırıda verilerinin çalınıp çalınmadığı konusunda çalışanlara herhangi bir iletişim sağlanmadığı söylendi.
Saldırıyı Rhysida üstlendi
Rhysida, Mayıs 2023’te başlatılan ve Şili Ordusu’na (Ejército de Chile) saldırıp verilerini sızdırdıktan sonra hızla kötü şöhrete kavuşan bir fidye yazılımı operasyonudur.
Bu ayın başlarında ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS), sağlık kuruluşlarına yönelik son saldırıların arkasında Rhysida çetesinin olduğu konusunda uyardı.
Şimdi, Rhysida fidye yazılımı çetesi, Prospect Medical Holdings’e yapılan saldırıyı üstlendi ve şirketin çalındığı iddia edilen verilerini 50 Bitcoin (1,3 milyon dolar değerinde) karşılığında satmakla tehdit etti.
Tehdit aktörleri, 1 TB’lık belge ile 500.000 sosyal güvenlik numarası, pasaport, ehliyet, kurumsal belge ve hastaların tıbbi bilgilerini içeren 1,3 TB’lık SQL veritabanını çaldıklarını iddia ediyor.
Rhysida veri sızıntısı sitesi, “Nazik bir şekilde şunları sağladılar: 500.000’den fazla SSN, müşterilerinin ve çalışanlarının pasaportları, sürücü ehliyetleri, hasta dosyaları (profil, tıbbi geçmiş), mali ve yasal belgeler!!!” diyor.
Çetenin veri sızıntısı sitesi ayrıca sürücü ehliyetlerinin, sosyal güvenlik kartlarının, belgelerin ve hastaların tıbbi bilgilerinin çok sayıda ekran görüntüsünü de paylaştı.
Bazı ekran görüntülerinde PMH’nin hastane ağlarından biri olan Doğu Connecticut Sağlık Ağı’na ait antetli kağıt içeren belgelerin sızdırıldığı görülüyor.
BleepingComputer, sızdırılan verilerle ilgili soruları için PMH ile iletişime geçti ancak şu anda bir yanıt alamadı.