İhlal Bildirimi, Sağlık Hizmetleri, Sektöre Özel
ABD Hükümeti, BlackCat Suç Grubunun Liderliğinin İzini Sürmek İçin 10 Milyon Dolar Ödül Teklif Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
28 Mart 2024
UnitedHealth Group, Change Healthcare birimine yapılan siber saldırıda verilerin “alındığını” kamuoyuna kabul etti ve potansiyel olarak tehlikeye atılan hassas kişisel, finansal ve sağlık bilgileri türlerini analiz etmeye başladığını söyledi.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Bu arada ABD Dışişleri Bakanlığı, saldırının arkasında olduğunu iddia eden hizmet olarak fidye yazılımı grubu BlackCat/Alphv'nin kimliğinin belirlenmesine veya liderlerinin konumuna yol açacak bilgiler için 10 milyon dolara kadar ödül teklif ediyor.
Dışişleri Bakanlığı, ödül teklifini 15 Şubat'ta, UnitedHealth Group'un 21 Şubat'ta gerçekleştiğini söylediği Change Healthcare saldırısından yaklaşık bir hafta önce duyurdu.
UnitedHealth Group Çarşamba günü yaptığı son saldırı güncellemesinde, şirketin muhtemelen sağlık bilgileri, kişisel tanımlanabilir bilgiler, iddialar ve uygunluk veya mali bilgiler içereceğine inandığı etkilenen verilerin incelenmesine “öncelik verdiğini” söyledi.
Şirket, “Açık olmak gerekirse, korunan sağlık bilgileri veya kişisel olarak tanımlanabilir bilgiler de dahil olmak üzere, tehdit aktörü tarafından alınan verilerin içeriğini hâlâ belirliyoruz” dedi.
UnitedHealth Group şu ana kadar çalınan verilerin karanlık ağda yayınlandığına dair bir kanıt görmedi. “Verilerinin tehlikeye girdiği tespit edilen kişilere uygun desteği sağlamaya kararlıyız” dedi.
UnitedHealth Group, saldırıdan etkilenen bilgilerin gözden geçirilmesi sürecinin “Change Healthcare'in kendi sistemleri olaydan etkilendiğinden ve erişilmesi zor olduğundan zaman aldığını, dolayısıyla verileri doğrudan Change sistemlerinden hemen çekmenin güvenli olmadığını” söyledi.
“Yakın zamanda erişmemiz ve analiz etmemiz için güvenli bir veri seti elde ettik. İlk adım olarak ihtiyaç duyulan montaj ve sıkıştırmayı açma prosedürleri nedeniyle, verileri analiz etmeye ancak yakın zamanda başlayabilecek bir konuma ulaştık.”
BlackCat – diğer adıyla Alphv – geçen ay, Tricare, Medicare, CVS Caremark, MetLife, Loomis, Davis Vision, Health Net, Teachers Health Trusts dahil olmak üzere “tüm” Change Healthcare müşterilerine ilişkin 6 terabaytlık “son derece seçici verileri” sızdırdığını iddia etti. ve onlarca sigorta ve diğer şirket (bkz: BlackCat, Federal Kapatmanın Ardından Sağlık Sektörüne Saldırıyor).
BakerHostetler hukuk firmasından avukat Sara Goldstein, Change Healthcare saldırısında potansiyel olarak riske atılan PHI ve PII'nin türü ve miktarının çok çeşitli olabileceğini söyledi.
Change Healthcare, web sitesinde yılda 15 milyar işlem gerçekleştirdiğini ve her 3 hastadan 1'ine dokunduğunu belirtiyor.
Dolayısıyla, eğer BlackCat'in 6 terabaytlık veriyi sızdırdığı yönündeki iddiaları doğruysa, “erişilen veya sızdırılan verinin kapsamı (büyük şemaya göre) potansiyel olarak küçük bir miktar olabilir, çünkü Change'in söylediği gibi, 15 milyar işlem gerçekleştiriyorlar.” bir yıl,” dedi Goldstein.
“Küçük ya da muazzam miktarda veri olabileceği potansiyeli var. Ayrıca Change'in neye erişildiğini ya da sızdırıldığını kesin olarak belirleyememesi potansiyeli de var.”
Kara Kedi Aranıyor
Güvenlik firması Critical Insight'ın kurucusu ve CISO'su Mike Hamilton, UHG, Change Healthcare'in ödeme sistemlerinin doğrudan saldırı tarafından hedef alındığını bildirdi, bu da saldırıda BlackCat altyapısını kullanan bağlı kuruluşun amaçları hakkında bir şeyler gösterdiğini söyledi.
“Bir suç çetesi, tüm sağlık sisteminin bozulmasına değil, daha çok para kazanılabilir bir sonuca odaklanacaktır” dedi. “Çin ve Rusya'nın istikrarsızlaştırma hedeflerine ilişkin çok sayıda rapor gördükten sonra, bu, kayıt hırsızlığı içeren bir fidye yazılımı olayından daha fazlası gibi görünüyor ve bu sonuca ulaşmak için stratejik hedeflemeyi öneriyor.”
Saldırının arkasında olduğunu iddia eden BlackCat iştiraklerinden biri, UnitedHealth Group'un şifre çözücü anahtarı için ve olayda çalınan verilerin sızmasını önlemek için 22 milyon dolar fidye ödediğini bildirdi. Ancak bağlı kuruluş, BlackCat'in, bağlı kuruluşun payını paylaşmak yerine tüm fidye ödemesini elinde tuttuğunu iddia ediyor.
Bu iddialardan kısa bir süre sonra BlackCat'in Tor tabanlı veri sızıntısı sitesi şu sayfaya dönüştü: “Federal Soruşturma Bürosu, bu siteyi Alphv Blackcat fidye yazılımına karşı yürütülen koordineli bir yasa uygulama eyleminin parçası olarak ele geçirdi.”
Geçtiğimiz Aralık ayında ortak bir kolluk kuvvetleri operasyonu BlackCat'in altyapısını ele geçirerek grubu geçici olarak sekteye uğratmış olsa da, bazı uzmanlara göre son bildirim geri dönüştürülmüş ve belki de bir çıkış dolandırıcılığının parçası gibi görünüyor (bkz: BlackCat Fidye Yazılımı Grubunun 'Nöbet' Çıkış Dolandırıcılığı Olduğu Görünüyor).
Dışişleri Bakanlığı ayrıca BlackCat/AlphV fidye yazılımı varyantını kullanan bir saldırıya katılan, komplo kuran veya katılmaya çalışan herkesin tutuklanmasına veya mahkum edilmesine yol açacak bilgiler için 5 milyon dolara kadar ödül teklif ediyor.
Dışişleri Bakanlığı, bugüne kadar dünya çapında 1000'den fazla kuruluşun BlackCat tehdit aktörleri tarafından ele geçirildiğini söyledi.
Güvenlik firması Emsisoft'un tehdit analisti Brett Callow, “Ödüller çok yararlı bir araç” dedi. “Bunlar sadece kolluk kuvvetlerinin bilgi toplamasına yardımcı olmakla kalmıyor, aynı zamanda denekler için yaşamı oldukça rahatsız edici hale getiriyorlar ve bu da onların daha geniş bir caydırıcılık etkisine sahip olabileceği anlamına geliyor” dedi.
“Denekler bazı durumlarda iade edilemeyecekleri ülkelere sığınıyor olsalar da, kafalarına seve seve vurup 10 milyon dolar karşılığında onları sınırın ötesine götürecek insanlar olduğunu bilecekler.”
Hamilton, ABD hükümetinin LockBit ve Hive çeteleri de dahil olmak üzere diğer fidye yazılımı gruplarına 10 milyon dolar ödül parası teklif ettiğini söyledi.
“Bu gidişat oranı gibi görünüyor, ancak bir ödülün ödenip ödenmediği ya da ödenip ödenmediğini bileceğimiz açık değil” dedi.
Restorasyon Güncellemesi
UnitedHealth Group Çarşamba günü yaptığı açıklamada, saldırıdan etkilenen çeşitli “temel” Değişim Sağlık Sistemlerinin onarılmasında “önemli ilerleme” kaydettiğini söyledi. Saldırı ve şirketin saldırıya yanıt vermesi sırasında yaşanan kesinti, 100'den fazla Change Healthcare BT ürün ve hizmetini etkiledi.
Şirket, “Odak noktamız, saldırının hedef aldığı eczane, tıbbi talepler ve ödeme sistemlerindeki zorlukları ele alarak bakım ve ilaçlara erişimi sağlamak oldu” dedi.
UnitedHealth Group ayrıca uygunluk işlemleri, klinik veri alışverişi ve geriye dönük bölüm bazlı ödeme modelleri de dahil olmak üzere diğer önemli ürünlerin restorasyonu için güncellenmiş, üç haftalık bir zaman çizelgesi sağladı. Şirket, diğer ürünlerin restorasyon zaman çizelgesinin hala üzerinde çalışıldığını söyledi.
ABD Sağlık ve İnsani Hizmetler Bakanlığı Çarşamba günü Sağlık Hizmeti Değişiminden etkilenen kuruluşlar için yeni kılavuz yayınladı.
Belge, diğer şeylerin yanı sıra, Change Healthcare iyileşirken etkilenen kuruluşların çeşitli süreçleri ele almasına yardımcı olmak için iletişim bilgileri ve ödeme yapanlara bağlantılar ve alternatif veri takas odası hizmetlerine ilişkin bilgiler gibi kaynaklar sağlar.