Veri ihlali bildirimi, veri güvenliği, sahtekarlık yönetimi ve siber suç
Araştırmacılar: Fidye yazılımı grubu geçen sonbaharda ortaya çıktı; Babuk kötü amaçlı yazılım varyantı
Marianne Kolbasuk McGee (Healthinfosec) •
28 Şubat 2025
Nispeten yeni bir fidye yazılımı çetesi Termite, Avustralya doğurganlık kliniği genine son zamanlarda yapılan bir saldırıda çalındığı iddia edilen 700 gigabayt hassas verilerin karanlık web sitesi örneklerine sızmaya başladı.
Ayrıca bakınız: Ondemand | Bankacılıkta içeriden gelen tehdidi ele almanın sınırlamalarının üstesinden gelmek: Gerçek güvenlik zorlukları için gerçek çözümler
Bir Avustralya mahkemesi, tehdit oyuncusu ve diğer üçüncü taraflar tarafından verilerin daha fazla erişimi, kullanımını, yayılmasını veya yayınlanmasını durdurmak için bir kısıtlama emri yayınlamıştır.
40 yıldır faaliyet gösteren ve Avustralya’nın en büyük doğurganlık kliniklerinden biri olan Genea, yaptığı açıklamada, ilk olarak 14 Şubat’ta ağında şüpheli faaliyetlerin farkına vardığını ve derhal bir soruşturma ve iyileştirme çabaları başlattığını söyledi.
Klinik, 26 Şubat’ta soruşturmanın, tehdit aktörlerinin Dış Hasta Hasta Yönetim Sistemlerinden çalınan verileri harici olarak yayınlamaya başladığını belirledi.
Etkilenen bilgiler hasta adlarını, e -postaları, adresleri, telefon numaralarını, Avustralya Medicare kart numaralarını, özel sağlık sigortası detaylarını, tıbbi kayıt numaralarını, hasta numaralarını, doğum tarihini, acil durum temaslarını ve akrabanın bir kısmını içerir.
Meydan okulu tıbbi bilgiler, hasta tıbbi öyküsü, teşhisler ve tedaviler, ilaçlar, sağlık anketleri, patoloji ve teşhis test sonuçlarını, doktorların notlarını ve randevu ayrıntılarını içerir.
Genea, soruşturmanın bu aşamasına dayanarak kredi kartı detayları ve banka hesap numaraları gibi finansal bilgilerin etkilenmediğini söyledi.
26 Şubat’ta Genea, Yeni Güney Galler’deki Avustralya Yüksek Mahkemesi tarafından tehdit aktörlerine karşı kısıtlayıcı bir emir verildiğini söyledi.
Bilgisayar korsanlarının kimliği ve karanlık web siteleri de dahil olmak üzere belirli bilgileri düzeltmiş olan mahkeme kararının bir kopyası, “sanıkların veya başka bir kişinin”, Genea veri kümesinden elde edilen herhangi bir bilgi veya materyalin yayınlanması, iletilmesi veya açıklanmasının yasak olduğunu belirtmektedir.
Bu veri kümesi, “davalılar tarafından davacıların BT ağı ve BT sistemlerinden yetkisiz bir şekilde elde edilen herhangi bir bilgi veya materyali” ifade eder.
Kısıtlama Siparişi, mahkeme belgesinin başlangıçta 31 Ocak’ta erişildiğini söylediği Genea’nın Citrix ortamından elde edilen verileri kapsar. Yaklaşık 940.7 GB veri “Davacıların BT ağını ve BT sistemlerinden, DigitaloCean tarafından barındırılan bir bulut sunucusuna erişilen iki uzak IP adresine de dahil olmak üzere, 14.”
Mahkeme belgesine göre, verilerin birincil hasta yönetim sistemi, Babyry ve kliniğin birincil dosya sunucusu da dahil olmak üzere diğer sistemler için GENEA’nın uygulama sunucusundan çalındığını söyledi.
Cuma günü, Termite’in karanlık web sitesi, grubun Genea sunucularından en az 700 GB veriye sahip olduğunu iddia etti. Sızıntı bölgesi ayrıca sağlık anketleri ve yumurta donörü raporları da dahil olmak üzere çeşitli Genea hasta belgeleri örneği göstermiştir.
GENEA, olayla ilgili açıklamasında, mahkemenin tehdit aktörlerine karşı kısıtlama emrinin yanı sıra örgütün de hükümet yetkililerini bildirdiğini söyledi.
Bu, Avustralya Bilgi Komiseri ve Avustralya Siber Güvenlik Merkezi’nin ofisini de içeriyordu. Klinik, “Olayı onlarla görüşmek üzere Ulusal Siber Güvenlik Ofisi, Avustralya Siber Güvenlik Merkezi ve diğer devlet daireleriyle görüşüyoruz.” Dedi.
Genea, bilgi güvenliği medya grubunun yorum talebine ve olayla ilgili ek ayrıntılara hemen yanıt vermedi.
Diğer istilalar
Güvenlik araştırmacıları, Termite’in ilk olarak geçen sonbaharda fidye yazılımı sahnesinde görünen bir grup olduğunu söylüyor.
“Termit, kuruluşlardan veri çaldığı iddia edilen İngilizce konuşan bir gasp grubudur, fidye ödenmedikçe, bunu bir fidye ödenmedikçe torlu bir veri sızıntısı sitesinde sızıntı yapmakla tehdit etmekle tehdit eder,” diye yazdı.
Tehdit istihbarat firması Cyble’daki araştırmacılar, Aralık 2024 tarihli bir raporda, Termit’in yeni bir Babuk fidye yazılım varyantı gibi göründüğünü ve grubun Kasım 2024’te tedarik zinciri yönetim platformu Blue Yonder’a çarpan bir saldırının arkasında olduğunu söyledi (bkz: bkz: Moody’s: Bilgisayar korsanları tedarik zinciri saldırılarında büyük ödemeleri hedefliyor).
Cyble, “Termit aslında kötü şöhretli Babuk fidye yazılımlarının yeniden markalanmasıdır.” “Termit fidye yazılımı, siber manzarada yeni ve büyüyen bir tehdidi temsil ediyor ve kurbanlar üzerindeki etkisini en üst düzeye çıkarmak için çift gasp gibi gelişmiş taktiklerden yararlanıyor.”