Siber Suçlular Arasında Onur? Bir Kanada Firması Neden Fidye Ödedi?

Alberta Dental Service Corp. başkanı Lyle Best, Cuma günü Information Security Media Group’a yaptığı açıklamada, şirketinin yakın zamanda bir şifre çözücü anahtarı için “önemli” bir fidye ödediğini ve saldırının sorumluluğunu üstlenen siber suç grubu 8Base’in silme sözü verdiğini söyledi. olayda sızan veriler.

Best, 8Base’i “Rus merkezli” olarak tanımladı ve ADSC’nin ne kadar fidye ödediğini söylemeyi reddetti. ISMG’ye verdiği demeçte, bilgisayar korsanlarının fidyeyi ödedikten sonra hızlı bir şekilde ADSC’ye bir şifre çözücü anahtarı ve şirketin çalınan verilerinin silindiğini gösteren bir video sağladığını söyledi.

Ancak ADSC, şifre çözme anahtarını aldığında, şirketin etkilenen verileri yedekleri kullanarak kurtarmaya çoktan başladığını söyledi. Best’e göre fidye yazılımı şifrelemesi, ADSC’nin BT operasyonlarını yalnızca yaklaşık 12 saat kesintiye uğrattı.

Güvenlik firması VMware, Haziran ayında yayınladığı bir raporda, Mart 2022’den beri aktif olan 8Base fidye yazılımı grubunun “2023 yazında faaliyette yaşanan büyük artışa rağmen nispeten bilinmezliğini koruduğunu” söyledi.

Rapora göre 8Base, kurbanlarını fidye ödemeye zorlamak için “isim ve utanç” teknikleriyle birlikte şifreleme kullanıyor. VMware, çetenin iletişim tarzının “bilinen başka bir grup olan RansomHouse’a çarpıcı bir şekilde aşina olan laf kalabalığı” kullandığını yazdı.

Siber sigortacılar ve diğer uzmanlar, şifre çözücü anahtarı ve çalınan verileri yok etme sözü için saldırganlara ödeme yapıp yapmama kararını değerlendirirken, ADSC’ye şu tavsiyede bulundu: verdikleri sözleri tutuyorlar” dedi.

Ancak bazı uzmanlar, her koşulda saldırganlara fidye ödemenin kötü bir seçim olduğunu iddia ediyor. “Verilerinizi gerçekten silmeleri umuduyla güvenilmez kötü niyetli aktörlere ödeme yapmak, bir hırsıza eşyalarınızı geri vermesi umuduyla para ödemeye benzer. Bu mantıksızdır ve bilgileri ele geçirilen kişileri korumak için kesinlikle hiçbir şey yapmaz.” Emsisoft güvenlik firmasında tehdit analisti olan Brett Callow dedi. “Ödeme, bir kuruluşun yasal yükümlülüğünü, düzenleyici sorumluluğunu veya diğer herhangi bir yükümlülüğünü veya sorumluluğunu da değiştirmez.”

Best, ADSC’nin olayı kolluk kuvvetlerine bildirdiğini ve soruşturmanın devam ettiğini söyledi.

Best, saldırıdan bu yana ADSC’nin “daha yeni izleme araçları” uygulamak da dahil olmak üzere veri güvenliğini artırdığını söyledi. ADCS olayının bir e-posta kimlik avı dolandırıcılığıyla başladığına inanılıyor, dedi.

İhlal Ayrıntıları

ADSC Perşembe günü yaptığı basın açıklamasında, banka bilgilerini içeren yaklaşık 7.300 kaydı içeren olaydan yaklaşık 1.47 milyon kişinin etkilendiğini söyledi.

ADSC, Perşembe günü web sitesinde yayınlanan bir genel duyuruda, 9 Temmuz’da yetkisiz bir üçüncü tarafın BT altyapısının bir kısmına erişim sağladığını ve belirli sistemleri ve verileri şifreleyerek bunları geçici olarak erişilemez hale getiren kötü amaçlı yazılım yerleştirdiğini keşfettiğini söyledi.

Bildiride, “Ağımızı ve verilerimizi daha fazla yetkisiz erişime karşı güvence altına almak için derhal karşı önlemler aldık ve çevreleme, iyileştirme ve bu olayın doğası ve kapsamı hakkında adli soruşturma yürütme konusunda yardımcı olmak için üçüncü taraf siber güvenlik uzmanlarını görevlendirdik” denildi.

“Neyse ki, etkilenen sistemleri ve verileri yedeklerden çok az veri kaybıyla kurtarabildik.”

Bildiride, olayla ilgili şimdiye kadar yapılan soruşturmanın, saldırganların kötü amaçlı yazılımı dağıtmadan önce 7 Mayıs ile 9 Temmuz arasında ADSC’nin ağındaki belirli verilere erişip bunları kopyaladığını belirlediği belirtildi.

Edmonton, Alberta merkezli şirket, tehlikeye atılan verilerin yakın zamanda tamamlanan bir incelemesinin, etkilenenlerin diş hekimliği sağlayıcıları ve Alberta eyalet hükümeti yaşlılar ve düşük gelirli dişhekimliği programlarına kayıtlı bireylerin yanı sıra ADSC’nin Quikcard avantajlarına katılan bazı kişileri içerdiğini belirlediğini söyledi. daha küçük işverenler aracılığıyla sunulan programlar.

Etkilenen veriler, sosyal yardım planlarına bağlı olarak bireyler arasında değişiklik gösterir, ancak ad, adres, kişisel sağlık numarası, doğum tarihi, dişçilik talepleri ayrıntıları, devlet tarafından verilen kimlik numarası ve bazıları için banka hesap numaralarını içerir.

Etkilenen diş hekimliği sağlayıcıları için güvenliği ihlal edilmiş bilgiler arasında şirket adı, şirket banka hesabı, şirket postası ve e-posta adresi ile lisans numarası yer alır.

ADSC, olayla ilgili kamuoyu duyurusunda, “Etkilenen bireyler ve kuruluşlar, bu olayın sonucunda kimlik avı, utanma, incinme veya aşağılanma dahil olmak üzere zarar görme riski altındadır.”

Şirket, ihlalde banka bilgileri ele geçirilen kişi ve kuruluşların da potansiyel dolandırıcılık veya kimlik hırsızlığı riskiyle karşı karşıya olduğu konusunda uyardı. “ADSC’nin bu potansiyel zararlara ilişkin değerlendirmesi, kimliği belirsiz bir üçüncü tarafın kötü niyetli eylemleri ve etkilendiği tespit edilen bilgi türleri dahil olmak üzere çevredeki tüm koşulların değerlendirilmesini içeriyordu.”

Florida’da dişhekimliği programlarını yöneten MCNA Insurance Co. da dahil olmak üzere, ABD’de devlet destekli büyük dişhekimliği programları da son siber saldırıların kurbanı olmuştur (bkz:: Diş Sağlığı Sigortacısı Hack’i Yaklaşık 9 Milyonu Etkiliyor).

Mayıs ayında MCNA, düzenleyicilere, 6 Mart’ta belirli MCNA BT sistemlerine yetkisiz erişimi içeren yaklaşık 9 milyon kişiyi etkileyen bir ihlal ve şirketin ağındaki bazı BT sistemlerine kötü amaçlı kod bulaştığının keşfedildiğini bildirdi.

Callow, “Çoğu fidye yazılımı saldırısı fırsatçıdır, yani sağlık planı sağlayıcıları ve büyük ve küçük sağlık hizmeti sağlayıcılarının tümü benzer risklerle karşı karşıyadır” dedi.

“Sağlık sektörünün yanı sıra diğer sektörleri de içeren fidye yazılımları, 2019’dan bu yana yüksek bir seviyede kaldı” dedi. “Hükümetler sorunla mücadele etmek için önemli çabalar göstermiş olsa da, bu çabaların henüz önemli bir etkisi olmamış gibi görünüyor. Bu endişe verici.”