İhlal Bildirimi, Dolandırıcılık Yönetimi ve Siber Suç, Sağlık
East Valley Teknoloji Enstitüsü, LockBit’in Eğitim Sektörü Mağdurlarından Biri
Marianne Sosis McGee (SağlıkBilgiGüvenliği) •
12 Ağustos 2024
Arizona merkezli bir teknik okul, yaklaşık 209.000 mevcut ve eski öğrenci, veli, veli ve öğretim görevlisine, bu yılın başlarında tespit edilen bir bilgisayar korsanlığı olayında kişisel, sağlık ve finansal bilgilerinin potansiyel olarak tehlikeye atıldığını bildiriyor. Saldırı, fidye yazılımı hizmeti sunan LockBit grubu tarafından gerçekleştirildi.
Ayrıca bakınız: Web Semineri | 2024 Kimlik Avı İçgörüleri: 11,9 Milyon Kullanıcı Davranışının Riskiniz Hakkında Gösterdikleri
Öğrencileri arasında liselilerin yanı sıra yetişkinlerin de bulunduğu East Valley Teknoloji Enstitüsü, Cuma günü Maine başsavcısına sunduğu raporda, 9 Ocak’ta okula yapılan siber saldırıda 12 Maine sakini de dahil olmak üzere 208.717 kişinin kayıtlarının etkilenmiş olabileceğini bildirdi.
EVIT, Maine düzenleyicilerine sunduğu raporla birlikte sunduğu örnek ihlal bildirim mektubunda, olayın operasyonları üzerinde “sınırlı bir etkiye” sahip olduğunu belirtti.
EVIT, “Olayı araştırmak, sistemlerimizi güvence altına almak, olayı ülke çapındaki en büyük üç tüketici raporlama kuruluşuna ve ilgili makamlara bildirmek, tehdidi kontrol altına almak ve ortadan kaldırmak ve potansiyel olarak etkilenen bireyleri bilgilendirmek için derhal düzeltici adımlar attık” dedi.
Okul, “EVIT bugüne kadar hassas bilgi içeren herhangi bir EVIT verisi yayınına rastlamadı” dedi.
EVIT sözcüsü Information Security Media Group’a yaptığı açıklamada, LockBit’in EVIT’in sistemlerini şifrelediğini ve şifre çözme anahtarı için fidye talep ettiğini, ancak EVIT’in gaspçılara ödeme yapmadığını söyledi.
Sözcü, olayda EVIT verilerinin dışarı sızdırılmadığını söyledi.
“Karanlık web’de sızdırılan veya satılan herhangi bir kişisel olarak tanımlanabilir bilgiden haberdar değiliz,” dedi. “EVIT olaydan sonra çalışmaya devam edebildi ve bulut tabanlı sistemler çalışmaya devam etti, ancak mevcut ve eski öğrencilere, öğretim görevlilerine ve velilere ait hassas bilgilerin ifşa olma olasılığı vardı,” dedi.
Okul yakın zamanda potansiyel olarak tehlikeye atılmış veriler üzerinde yaptığı incelemeyi tamamladı ve verilerin isimler, sınıf listesi, öğrenci kimlik numarası, doğum tarihi ve yeri, ırk/etnik köken, notlar, ders programı, ev telefonu numarası, e-posta adresi, ev adresi, ebeveyn ve veli adı, transkript, bireysel eğitim planı, Sosyal Güvenlik numarası, ehliyet veya eyalet kimlik numarası, sınıf sıralaması, kabile kimlik numarası, disiplin dosyaları ve devamsızlık nedenleri dahil olmak üzere geniş bir bilgi yelpazesini kapsadığını tespit etti.
Potansiyel olarak etkilenebilecek finansal bilgiler arasında ödeme kartı türü, hesap numarası, yönlendirme numarası, mali yardım ve hesap numarası yer almaktadır.
Etkilenen sağlık bilgileri arasında sağlık sigortası bilgileri, tıbbi bilgiler, tanı ve kod, zihinsel veya fiziksel durum, tedavi türü ve yeri, reçete bilgileri, alerji, hasta kimliği ve hesabı, kurum adı ve tıbbi kayıt numarası yer alır.
Potansiyel olarak tehlikeye atılabilecek diğer bilgiler arasında pasaport numaraları, şifreli kullanıcı adı, PIN veya oturum açma bilgileri, biyometrik veriler ve askeri kimlik numaraları yer alıyor.
EVIT, tüm bireylerin bilgilerinin aynı kombinasyonda tehlikeye atılmadığını söyledi.
Tehlikeye atılan kimlik bilgileri
EVIT sözcüsü ISMG’ye yaptığı açıklamada, tehdit aktörünün EVIT BT ortamına, ele geçirilmiş kimlik bilgileriyle uzaktan VPN kullanarak eriştiğini söyledi.
“Tehdit saldırganlarının erişim kimlik bilgilerini zorla ele geçirip geçirmediği veya erişim kimlik bilgilerini çevrimiçi olarak bulup bulmadığı belirlenemedi,” dedi. “Üçüncü taraf siber güvenlik danışmanı, kimlik bilgilerinin çevrimiçi olarak yayınlanıp yayınlanmadığını veya satışa sunulup sunulmadığını görmek için aramalar yaptı. Kimlik bilgilerinin çevrimiçi olarak yayınlanıp yayınlanmadığına veya satışa sunulup sunulmadığına dair hiçbir kanıt bulunamadı.”
EVİT, olaydan bu yana güvenliğini artırmaya yönelik önlemler aldığını belirtti.
Bunlara VPN erişiminin kilitlenmesi, EDR yazılımının dağıtılması, olay için 7/24 izleme uygulanması, tüm ayrıcalıklı kullanıcı erişiminin iptal edilmesi, tüm servis hesabı parolalarının değiştirilmesi, tüm kullanıcı parolalarının değiştirilmesi, etki alanı güveninin iptal edilmesi, etki alanı temizliği yapılması ve saldırıdan etkilenen sunucuların hiçbirinin ağa geri döndürülmemesi için 19 sanal sunucunun yeniden oluşturulması veya değiştirilmesi dahildir.
EVIT, ihlal bildirim mektubunda, “EVIT’in ağ altyapısını güçlendirmek ve hassas verilerin yetkisiz erişime karşı daha iyi korunmasını sağlamak için bu ve diğer bilgisayar güvenlik korumalarını ve protokollerini eklemesine yardımcı olmak üzere ağ güvenliği konusunda uzmanlaşmış üçüncü bir tarafla anlaştı” dedi.
Sözcü, EVIT’in daha önce şirkette kayıtlı e-posta adresleri bulunan herkese e-posta göndererek ve ayrıca internet sitesinde olayı ayrıntılı olarak açıklayan bir duyuru yayınlayarak potansiyel olarak etkilenen kişilere bildirimler gönderdiğini söyledi.
“EVIT’in şu anki fiziksel adresini tespit ettiği kişilere bu hafta fiziksel mektuplar gönderilecek.”
EVIT, etkilenen bireylere 12 ay ücretsiz kimlik ve kredi izleme hizmeti sunuyor.
Popüler Hedefler
Siber suçluların son aylarda hedef aldığı eğitim kurumları arasında EVIT de yer alıyor.
GuidePoint Security’nin kıdemli güvenlik danışmanı Grayson North, eğitim sektöründeki kuruluşların çeşitli nedenlerden dolayı, özellikle de bu kurumlarda tutulan verilerin hassasiyeti nedeniyle siber suçlular için çekici hedefler olduğunu söyledi.
North, GuidePoint’in 2024 yılı başından bu yana siber suçluların eğitim sektöründe 95 kuruluşu fidye yazılımı mağduru olarak ilan ettiğini söyledi.
Bu kurbanların yüzde 36’sının, en üretken fidye yazılımı çetesi olarak baskın bir çizgi izleyen LockBit tarafından talep edildiğini belirten LockBit, uluslararası kolluk kuvvetleri tarafından çökertilmiş ve Mayıs ayında ABD hükümeti tarafından yaptırıma tabi tutulmuştu.
“Bu olumsuzluklara rağmen, LockBit operasyonlarını sürdürmeye istekli olduğunu gösterdi,” dedi. “LockBit dışında, yerleşik fidye yazılımı çetelerinin neredeyse hepsi eğitim tesislerine saldırmaya istekli olduğunu gösterdi.”
North, kraliyet markası BlackSuit’in bu yıl şimdiye kadar sekiz saldırı yaptığını, Ransom Inc’in yedi saldırı yaptığını ve yakın zamanda başlatılan fidye yazılımı hizmeti operasyonu RansomHub’ın da beş saldırı yaptığını söyledi.
“Diğer tüm kuruluşlar gibi, eğitim tesisleri de İK amaçları için çalışanlarıyla ilgili önemli miktarda kişisel olarak tanımlanabilir bilgi tutar. Eğitimde, bu verilerin kapsamı öğrencileri de kapsayacak şekilde genişletilir. Kabul için toplanan tipik bilgilerin ötesinde, bir üniversite gibi bir eğitim tesisi, bir öğrencinin barınma, sağlık ve bazen sigorta sağlayıcısı olarak hareket edebileceğinden her türlü öğrenci verisini tutabilir.
“Modern dünyada, bu verilerin tamamı merkezi olarak erişilebilen veritabanı çözümlerinde tutuluyor; bu da bir aktörün bir kurumun ağına erişim sağladığında, önemli miktarda veriyi riske atacak şekilde yatay hareket edebileceği anlamına geliyor” dedi.