Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımı
Fred Hutchinson Kanser Merkezi Hack’inden Sonra Gasp Talepleri ve Davalar Birikti
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
10 Ocak 2024
Noel tatili sırasında çok sayıda çağrı, kolluk kuvvetlerini milletvekillerinin, savcıların, hakimlerin ve diğer eyalet ve yerel yetkililerin kapısına kadar getirdi. Polis, 911’e gönderilen bu sahte raporların birinin yaralanmasına yol açabilecek tehlikeli şakalar olduğunu söylüyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Şimdi siber suçlular, kasım ayında yaklaşık 1 milyon kişiyi etkileyen bir siber saldırıya uğrayan Seattle merkezli Fred Hutchinson Kanser Merkezi’ndeki kanser hastalarından zorla para almanın bir yolu olarak swatting tehdidini kullanıyor.
Kanser merkezine karşı açılan toplu davaya göre siber suçlular, en az 300 mevcut ve eski hastanın bilgilerinin silinmesi ve bu bilgilerin karanlık ağda satılmasının engellenmesi için 50 dolar ödemesini talep etti. Birkaç vakada dolandırıcılar, ödeme yapmamaları halinde mağdurun evinden veya bulunduğu yerden sahte 911 acil durum çağrısını yapmakla tehdit etti.
Kanser merkezinin web sitesi, bazı hastaların saldırganlardan iletişim aldığını kabul ederek, “Maalesef bu, tehdit aktörlerinin kullandığı yaygın bir taktiktir ve bu mesajları yerel ve federal kolluk kuvvetlerine bildirdik” diyor.
Aynı zamanda UW Medicine’in kanser programı sağlayıcısı olarak da hizmet veren bağımsız, kar amacı gütmeyen bir kuruluş olan Fred Hutchinson Kanser Merkezi, 19 Kasım’da klinik ağının bazı kısımlarında “izinsiz faaliyetler” tespit etti.
Kurum, faaliyeti kontrol altına almak için derhal gerekli adımları attığını, federal kolluk kuvvetlerine bilgi verdiğini ve üçüncü taraf bir adli güvenlik firmasının yardımıyla soruşturma başlattığını söyledi.
Soruşturmada saldırganların 19 Kasım ile 25 Kasım tarihleri arasında Fred Hutchinson sistemlerinden hasta bilgileri elde ettiği belirlendi.
Fred Hutchinson kamuya açık duyurusunda, “Mevcut bilgilere göre sorumlu suç grubu ABD dışındadır” dedi.
“Maalesef tüm kuruluşlar siber güvenlik riskleriyle karşı karşıyadır ve geçmişte birden fazla sağlık kurumu bu tür saldırıların hedefi olmuştur. Bu örnekte, bilgisayar korsanları Citrix adlı bir yazılımdaki bir güvenlik açığından yararlanarak ağımıza erişim sağlamalarına olanak sağladı. ülke çapındaki hastanelerde yaptıklarını” kanser merkezi söyledi.
Citrix Bleed güvenlik açığı, Kasım ayı sonlarında ABD hükümetinin ve sağlık sektörünün uyarılarına konu oldu (bkz.: Federaller ve AHA, Hastaneleri Citrix Kanama Tehditlerini Azaltmaya Çağırdı).
Fred Hutchinson, BT ve güvenlik ekibinin yetkisiz BT etkinliğini tespit ettiğini, güvenlik açığını azalttığını ve ek sorunları durdurduğunu söyledi. “Dış tarafların bilgilere erişmesini önlemek için sistemleri sürekli olarak güncelliyor ve geliştiriyoruz ve gelecekte bu gibi olayların meydana gelmesini önlemeye yardımcı olmak için ek savunma araçları uyguladık ve izlemeyi artırdık.”
Çarşamba günü itibariyle, son haftalarda ve günlerde kuruma karşı açılan neredeyse bir düzine dava, Fred Hutchison’un davacıların ve sınıf üyelerinin hassas bilgilerini korumadaki başarısızlığı nedeniyle ihmal ve diğer yanlış adımlar attığını iddia ediyor.
Bazı davalar, davacıların “aramayın” listesinde olmalarına rağmen spam e-postalarda ve telefon görüşmelerinde ani bir artış yaşadıklarını da iddia ediyor.
Kanser merkezi hastalara herhangi bir fidye talebinde bulunmamalarını tavsiye etti. Kanser merkezi, “Lütfen bu mesajları FBI’ın İnternet Suçları Şikayet Merkezi’ne bildirin. Ardından göndereni engelleyin ve mesajı silin. Ayrıca, mesajı e-postanız aracılığıyla spam olarak bildirmeyi de düşünebilirsiniz” dedi.
Fred Hutchinson, Bilgi Güvenliği Medya Grubu’nun hastalara yönelik dayak tehditleri ve gasp taleplerini içeren iddialar hakkında yorum yapmak da dahil olmak üzere ayrıntılı bilgi taleplerine hemen yanıt vermedi.
Ancak FBI, ISMG’ye yaptığı açıklamada, Fred Hutchinson hastalarının karşı karşıya olduğu sallama tehditlerinin farkında olduğunu ancak büronun bu olayla ilgili bir sallama olayının gerçekleştiğine dair herhangi bir bilgi olmadığını söyledi.*
“Bu tehditle ilgili olarak etkilenen bölgelerdeki kolluk kuvvetleri ortaklarımızla birlikte çalıştık ve çalışmaya devam ediyoruz, ancak ek bilgi sağlayamıyoruz” dedi.
“FBI saldırıyı çok ciddiye alıyor çünkü masum insanları riske atabiliyor ve müdahale ekiplerini gerçek acil durumlardan uzaklaştırabiliyor. FBI, soruşturmalarla ilgili durum güncellemeleri sağlamasa da, FBI’ın siber suçluları tespit etme, bulma ve eylemlerinden sorumlu tutma çabalarının anahtarı olan şirketlerden veya bireylerden gelen proaktif raporlamayı takdir ediyoruz. Bir hatırlatma olarak, FBI fidye ödenmesini önermiyor çünkü kaydın silineceğine dair bir garanti yok. FBI, benzer olaylarda siber suçlulara verileri silmeleri için şirketler veya bireyler tarafından para ödendiğinin ve verilerin gerçekte silinmediğinin farkındadır.”
FBI’ın sadece siber saldırılarla değil genel olarak saldırıyla ilgili olarak Ulusal Ortak Operasyon Resmi olarak bilinen Sanal Komuta Merkezi’ni başlattığını söyledi. “NCOP-VCC, FBI ve kolluk kuvvetleri ortakları arasında, saldırı olaylarının gerçek zamanlı bir resmini izlemek ve oluşturmak için yapılan ortak bir çabadır. Mayıs 2023’te kurulan bu girişim, ilgili yetki alanlarında swatlama bilgilerinin izlenmesi ve paylaşılmasına katılmak isteyen tüm emniyet teşkilatlarına ve füzyon merkezlerine açıktır.”
Taktikler ‘Daha Aşırı’ Hale Geliyor
Bazı uzmanlar, Fred Hutchinson hastalarına yönelik siber saldırının da dahil olduğu tehditlerin rahatsız edici olduğunu söylüyor. Güvenlik firması Emsisoft’ta tehdit analisti olan Brett Callow, bunun siber suç gaspında kullanılan ilk swatlama vakası olabileceğini söyledi.
“Kötü aktörlerin eninde sonunda tehditlerine göre hareket etmelerini tamamen bekliyorum. Kullanılan taktikler giderek daha aşırı hale geldi ve maalesef gerçek dünyadaki şiddetin eninde sonunda gasp modelinin bir parçası haline gelmesi kaçınılmaz görünüyor” dedi.
“Bu, fidye ödemelerinin piyango ikramiye seviyelerine yükselmesinin doğrudan bir sonucu olacak. İnsanlar bu miktarda parayı ele geçirmek için çok kötü şeyler yapmaya hazır.”
Son zamanlardaki darbe olaylarının çoğu, nefret suçları gibi suç faaliyetleriyle ilişkilendirildi veya politikacıları veya tartışmalara karışan diğer yetkilileri hedef aldı.
İhlal Ayrıntıları
Fred Hutchinson, ihlalde ele geçirilen bilgilerin kişiye göre değiştiğini ancak isim, adres, telefon numarası, e-posta adresi, doğum tarihi, Sosyal Güvenlik numarası, sağlık sigortası bilgileri, tıbbi kayıt numarası, hasta hesap numarası, hizmet tarihleri, klinik bilgileri içerebileceğini söyledi. tedavi veya teşhis, laboratuvar sonuçları veya sağlayıcının adı.
Kanser merkezi, ihlal bildiriminde, olayın özellikle Fred Hutchinson’un BT sistemlerini kapsadığını, “ancak bu sistemlerde UW Tıp Merkezi, Harborview Tıp Merkezi ve UW Tıp Birinci Basamak Kliniklerinde bakım gören hastalar için de bazı veriler bulunduğunu” belirtti.
Fred Hutchinson aynı zamanda birçok harici sağlık kuruluşuna laboratuvar hizmetleri de sağladığından, diğer muayenehanelerde bakılan hastalar üzerinde gerçekleştirilen laboratuvar testleriyle ilgili veriler de etkilenebilir.
Fred Hutchinson şu ana kadar bilgisayar korsanlarının Epic elektronik tıbbi kayıt sistemine eriştiğine dair hiçbir kanıt bulunmadığını söyledi. Kuruluşun devam eden soruşturması, olaydan araştırma çalışmasının veya sponsor verilerinin etkilendiğini gösteren bir kanıt bulamadı.
Fred Hutchinson’a yönelik siber saldırı, kanser merkezinin şu anda ele aldığı tek olay değil. Yakın zamanda kaybolan bir dizüstü bilgisayar hakkında web sitesinde kamuya açık bir duyuru yayınlandı.
Fred Hutchinson, 27 Ekim’de sağlayıcılarından birinin seyahat sırasında kişisel dizüstü bilgisayarını kaybettiğini öğrendiğini söyledi.
Bildirimde “Sağlayıcı, Microsoft Outlook uygulaması aracılığıyla Fred Hutch e-postasına erişmek için dizüstü bilgisayarını kullandı” denildi. “Kişisel dizüstü bilgisayar şifre korumalıydı ve dizüstü bilgisayarın çevrimiçi olması durumunda sağlayıcı uzaktan silme işlemi başlattı. Şu ana kadar dizüstü bilgisayar internete bağlanmadı ve dizüstü bilgisayardaki herhangi bir bilgiye erişildiğine inanmamız için hiçbir neden yok. “
Sağlayıcının e-posta hesabında potansiyel olarak yer alan hasta bilgileri arasında isim, adres, telefon numarası, doğum tarihi, tıbbi kayıt numarası, hasta hesap numarası, hizmet tarihleri ve/veya Fred Hutchinson’daki bakımla ilgili belirli klinik bilgiler yer alır. Sınırlı sayıda hasta için Sosyal Güvenlik numarası da etkilenmiş olabilir.
Bildirimde, kaybolan dizüstü bilgisayardan potansiyel olarak kaç kişinin etkileneceği belirtilmiyor.
*10 Ocak UTC 21:43’te FBI’dan gelen açıklamayla güncellendi