UnitedHealth Group’un yan kuruluşu Optum’a yapılan ve Change Healthcare ödeme değişim platformunu etkileyen devam eden bir kesintiye yol açan siber saldırı, soruşturmaya aşina kaynaklar tarafından BlackCat fidye yazılımı grubuyla ilişkilendirildi.
Change Healthcare, Çarşamba günü müşterilerini siber güvenlik olayı nedeniyle bazı hizmetlerinin çevrimdışı olduğu konusunda uyardı. Bir gün sonra UnitedHealth Group, SEC 8-K dosyasında siber saldırının Change Healthcare’in BT sistemlerine erişim sağlayan şüpheli “ulus-devlet” bilgisayar korsanları tarafından koordine edildiğini söyledi.
Change Healthcare’in kapatılması, platformun ABD sağlık sistemi genelinde elektronik sağlık kaydı (EHR), ödeme işleme, bakım koordinasyonu ve hastaneler, klinikler ve eczanelerdeki veri analitiği sistemleri tarafından yaygın olarak kullanılması nedeniyle yaygın fatura kesintilerine yol açtı.
O zamandan beri Optum, özel bir durum sayfasında günlük olay güncellemeleri sağlıyor ve Change Healthcare’in sistemlerinin daha fazla etkiyi önlemek ve ihlali kontrol altına almak için hala çevrimdışı olduğu ve kesintinin şu anda çoğu hizmeti etkilediği konusunda uyarıda bulunuyor.
Optum, “Optum, UnitedHealthcare ve UnitedHealth Group sistemlerinin bu sorundan etkilenmediğine dair yüksek düzeyde güvenimiz var” diyor.
“Etkilenen ortamı geri yüklemek için birden fazla yaklaşım üzerinde çalışıyoruz ve sistemlerimizi tekrar çevrimiçi hale getirirken herhangi bir kısayol kullanmayacağız veya herhangi bir ek risk almayacağız.”
BlackCat bağlantıları
Saldırının sistemlerine ulaşmasından bu yana ChangeHealthcare, siber saldırı hakkında güncellemeler sağlamak için sağlık sektöründeki ortaklarla Zoom görüşmeleri yürütüyor.
Bu çağrılara katılanlardan biri BleepingComputer’a, saldırının, olaya müdahalede görev alan adli tıp uzmanlarının oluşturduğu BlackCat (ALPHV) fidye yazılımı çetesiyle bağlantılı olduğunu söyledi (Reuters, Blackcat bağlantısını ilk olarak Pazartesi günü bildirdi).
Başka bir kaynak Cuma günü BleepingComputer’a, güvenlik ihlali göstergelerinden birinin, yama uygulanmamış sunuculara fidye yazılımı dağıtmak için yapılan saldırılarda aktif olarak kullanılan kritik bir ScreenConnect kimlik doğrulama atlama kusuru (CVE-2024-1709) olduğunu söyledi.
BleepingComputer, kaynakların iddialarını bağımsız olarak doğrulayamadı.
Bu yayının yayınlandığı sırada BlackCat, Change Healthcare’e yapılan saldırıyı henüz üstlenmemişti; bu da onların hâlâ zorla fidye alma sürecinde olabileceklerini gösteriyordu.
United Health Group (UHG), 1,6 milyondan fazla doktor ve bakım uzmanının yanı sıra 8.000 hastane ve diğer bakım tesisiyle sözleşmesi olan, ABD’nin 50 eyaletinin tamamında faaliyet gösteren bir sağlık sigortası şirketidir.
UHG, dünya çapında 440.000 kişiyi istihdam etmektedir ve gelir bakımından dünyanın en büyük sağlık şirketidir (2022’de 324,2 milyar dolar).
Bağlı kuruluşu Optum Solutions, ABD sağlık sistemindeki doktorları, eczaneleri, sağlık hizmeti sağlayıcılarını ve hastaları birbirine bağlayan en büyük ödeme değişim platformu olan Change Healthcare platformunu işletmektedir.
UnitedHealth Group ve Optum sözcüleri, BleepingComputer BlackCat fidye yazılımı saldırısına ilişkin onay istediğinde yorum yapmak için hemen müsait olmadı.
Bir BlackCat temsilcisi, bu makale yayınlanmadan önce BleepingComputer’ın yorum talebine yanıt vermedi.
BlackCat/ALPHV kimdir?
BlackCat, Kasım 2021’de DarkSide ve BlackMatter fidye yazılımı operasyonlarının şüpheli bir yeniden markası olarak ortaya çıktı.
DarkSide, Colonial Pipeline saldırısının ardından hızla dünya çapında ün kazandı; bu, dünya çapındaki kolluk kuvvetleri tarafından kapsamlı soruşturmaların yapılmasına ve operasyonun iki kez daha marka değiştirmek zorunda kalmasına neden oldu.
FBI, BlackCat’in Kasım 2021 ile Mart 2022 arasındaki faaliyetinin ilk dört ayı boyunca 60’tan fazla ihlalle bağlantılı olduğunu belirtti. Ayrıca BlackCat’in Eylül 2023’e kadar 1.000’den fazla kurbandan en az 300 milyon dolar fidye ödemesi aldığını tahmin ediyor.
Çetenin operasyonları, FBI’ın sunucularını hackledikten ve aylarca süren izinsiz giriş sırasında toplanan anahtarları kullanarak bir şifre çözme aracı oluşturduktan sonra Tor görüşmelerini ve sızıntı sitelerini geçici olarak kapatmasıyla Aralık ayında kesintiye uğradı.
BlackCat, o zamandan bu yana, hâlâ sahip oldukları özel anahtarları kullanarak sızıntı sitelerini “ele geçirdi” ve şu anda FBI’ın henüz kapatamadığı yeni bir Tor sızıntı sitesini işletiyor.
UnitedHealth Group’un SEC dosyası, saldırının arkasında bir ulus devlet tehdit aktörünün olduğunu belirtirken, BlackCat’in herhangi bir yabancı devlet kurumuyla kamuya açık bir bağlantısı bulunmuyor.
ABD Dışişleri Bakanlığı, ALPHV çete liderlerinin tanımlanmasına veya konumlarının belirlenmesine yol açan ipuçları için 10 milyon dolara kadar, BlackCat fidye yazılımı saldırılarıyla bağlantılı kişiler hakkında bilgi verenler için ise 5 milyon dolara kadar ödül teklif ediyor.