Hızla büyüyen hizmet olarak Rhysida fidye yazılımı operasyonunun arkasındaki tehdit grubu, Mississippi’nin en büyük sağlık kuruluşlarından biri olan Singing River Sağlık Sistemindeki sistemleri felce uğratan 19 Ağustos saldırısının sorumluluğunu üstlendi.
Saldırı, ağustos ayında California’daki Prospect Medical Holdings’e karşı düzenlenen ve ülke çapında 16 hastaneyi ve 160’tan fazla kliniği etkileyen saldırının ardından geldi. Bu olayın geniş kapsamı, Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi’nin sektördeki diğer kuruluşlara alarm vermesine neden oldu.
Sakatlayıcı Saldırı
Singing River’a yapılan saldırı, sisteme ait üç hastaneyi ve yaklaşık 10 kliniği etkiledi ve muhtemelen Rhysida’nın ABD’deki sağlık kuruluşlarına yönelik büyüyen bir tehdit olarak itibarını güçlendirecek. Bu aynı zamanda, COVID-19 salgınının başlarında hastanelere ve diğer sağlık kuruluşlarına saldırmaktan uzak durma sözü veren fidye yazılımı aktörlerinin sektöre artan ilgisini de hatırlatıyor.
Rhysida operasyonunu takip eden Check Point Software’in tehdit istihbaratı grup yöneticisi Sergey Shykevich, Rhysida grubunun yakın zamanda sızıntı açıklama sitesinde Singing River’a ait olduğu anlaşılan küçük bir veri örneğini yayınladığını doğrulayabildiğini söylüyor. Grup, sağlık sisteminden sahip olduğu tüm verileri 30 Bitcoin’e (bugünkü kurlarla yaklaşık 780.000 $) satmaya hazır olduğunu söyledi. Grubun gönderisinde, “Yalnızca bir ele satış yapıyoruz, yeniden satış yok, tek sahip siz olacaksınız” yazıyordu.
Adını bir kırkayak türünden alan Rhysida, mayıs ayında ortaya çıktı ve kısa sürede fidye yazılımı alanında güçlü bir tehdit haline geldi. Grup başlangıçta eğitim, üretim, teknoloji, yönetilen hizmet sağlayıcı ve devlet sektörlerindeki kuruluşları hedef aldı. Prospect’e yapılan saldırı, tehdit grubunun sağlık sektörüne doğru genişlediğinin sinyalini verdi.
Check Point, Rhysida ile ilk kez bu yılın başlarında bir eğitim kurumuna yapılan fidye yazılımı saldırısını araştırırken karşılaştı. Güvenlik sağlayıcısının tehdit aktörünün taktikleri, teknikleri ve prosedürlerine ilişkin araştırması, en az 2021’den bu yana eğitim ve sağlık sektörlerini hedef alan özellikle üretken bir diğer tehdit aktörü olan Vice Society’nin TTP’leriyle örtüştüğünü ortaya çıkardı.
Kötü amaçlı yazılımın kendisi, Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi’ne göre hala geliştirmenin ilk aşamalarında görünen 64 bitlik Taşınabilir Yürütülebilir Windows şifreleme uygulamasıdır. Tehdit aktörleri, kötü amaçlı yazılımı kimlik avı e-postaları aracılığıyla ve Cobalt Strike ve diğer saldırı sonrası saldırı araçlarını kullanarak daha önce güvenliği ihlal edilmiş sistemlere dağıtıyor.
Check Point, araştırmacılarının Rhysida aktörlerinin ele geçirilen ağlarda yanal hareket için Uzak Masaüstü Protokolü, Uzaktan PowerShell oturumları ve PSExec uzaktan yönetici aracı dahil olmak üzere çeşitli taktikler kullandığını gözlemlediğini söylüyor. Hemen hemen tüm diğer büyük fidye yazılımı grupları gibi, Rhysida aktörleri de kurbanlarının verilerini şifrelemeden önce çalıyor. Daha sonra kurbanlarından para koparmak için verilerin ifşa edilmesi tehdidini ek bir koz olarak kullandılar.
Hedef Açısından Zengin Bir Sektör
Rhysida operasyonunun sağlık alanına yayılması, sektörün tehdit aktörleri için ne kadar değerli olduğunun bir yansıması. Sağlık kuruluşları, suç işleme niyetinde olanlar için, sayısız yoldan para kazanabilecekleri gerçek bir kişisel kimlik ve sağlık bilgisi hazinesi sunuyor. Tehdit aktörleri ayrıca, sağlık kuruluşlarının, hasta bakımı sağlama becerilerini engelleyebilecek aksaklıkları önlemek için, örneğin fidye ödeyerek bir saldırıdan çıkış yolunu müzakere etme eğiliminde olduklarını da biliyor.
Shykevich, “Sağlık hizmeti sağlayıcılarına yönelik saldırıların iki önemli sonucu var” diyor. “Hastanenin hastalarına temel hizmetleri sağlama yeteneği ve [on] hastaların hassas verileri. Bu tür siber saldırıların ardından veriler hızla Dark Web pazarlarına ve forumlarına ulaşıyor.”
Örneğin Singer Health’e yapılan saldırı, sağlık kuruluşunu tüm dahili sistemlerini çevrimdışına almaya ve hasta bakımı sağlamaya devam etmek için acil durum planlarına başvurmaya zorladı. Sağlık sistemi sistemlerini kurtarmak için mücadele ederken, elektronik tıbbi kayıt platformları ve laboratuvar sonuçlarına erişim gibi kritik hizmetler geçici olarak kullanılamıyordu. Kuruluş fidye ödemeyi reddederse verileri en yüksek teklifi verene satılabilir.
Saldırı, bu yıl sağlık kuruluşlarına yönelik yüzlerce fidye yazılımı ve diğer türdeki olaylardan biri. Yalnızca 2023’ün ilk altı ayında saldırılar kümülatif olarak 41 milyondan fazla kaydı açığa çıkardı. ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi tarafından tutulan veriler, kurumun şu anda sağlık kuruluşlarının bu yılın ilk sekiz ayında bildirdiği 440’tan fazla olayı araştırdığını gösteriyor.
Claroty’nin bu yılın başında gerçekleştirdiği küresel sağlık hizmetleri siber güvenliği araştırması, sağlık teknolojisi liderlerinin şu anda fidye yazılımlarını en büyük üç siber tehdit arasında sıraladığını gösterdi.
Claroty’nin sağlık sektörü müdürü Ty Greenhalgh, “Claroty’nin Küresel Sağlık Hizmetleri Güvenliği Çalışması 2023 kapsamında, 1.110 katılımcımızın %61’i bakım kalitesinde önemli veya orta düzeyde bir etki olduğunu belirtti; diğer %15’i ise hasta güvenliği üzerinde ciddi etkiler olduğunu kabul etti” diyor.
Greenhalgh, Claroty’nin sağlık hizmetleri siber güvenlik araştırmasındaki fidye yazılımı olaylarının yaklaşık %43’ünün 100.000 ila 1 milyon dolar arasında fidye içerdiğini söylüyor ve sağlık sistemlerine yönelik fidye yazılımı saldırılarının dalgalanma etkisi yarattığına dikkat çekiyor.
“Fidye yazılımı saldırılarından etkilenen sağlık hizmetleri sunan kuruluşların yakınındaki hastaneler, hasta sayımlarında artış görebilir ve akut felç gibi durumlar için zamana duyarlı bakımı etkileyen kaynak kısıtlamaları yaşayabilir” diyor. “Aynı zamanda bir topluluk içindeki bitişik hastanelerde sağlık hizmeti sunumunda aksamalara neden olabilirler ve bölgesel bir felaket olarak değerlendirilebilirler.”
Bazı küçük sağlık kuruluşları için fidye yazılımı varoluşsal bir tehdit olabilir. Bu yılın başlarında, St. Margaret’s Health of Illinois, en azından kısmen 2021’deki felç edici fidye yazılımı saldırısı nedeniyle faaliyetlerini kalıcı olarak durdurma kararını duyurdu.