Change Healthcare fidye yazılımı saldırısı üçüncü kez acımasız bir değişime uğradı. Yeni bir fidye yazılımı grubu olan RansomHub, karanlık web sızıntı sitesinde kuruluşu kurban olarak listeledi ve 4 TB’lık “yüksek düzeyde seçici veri”ye sahip olduğunu söyledi; bu veriler “şirket tarafından işlenen hassas verilere sahip tüm Change Health istemcileriyle ilgili” .”
Duyuru, paketin açılmasını gerektiren bir dizi olayın ardından geldi.
Change Healthcare, ödeme yapanlar, sağlayıcılar ve hastalar arasındaki ödeme akışından sorumlu olan ABD’deki en büyük sağlık teknolojisi şirketlerinden biridir. 21 Şubat 2024 Çarşamba günü ALPHV fidye yazılımı grubuyla çalışan bir suç “bağlısı” tarafından saldırıya uğradı ve bu, sağlık hizmetleri ödemelerinde büyük kesintilere yol açtı. Hastalar muazzam eczane faturalarıyla karşı karşıya kaldı, küçük sağlık sağlayıcıları iflasın eşiğinde kaldı ve hükümet para akışını sürdürmek ve ışıkları açık tutmak için çabaladı.
Amerikan Hastane Birliği (AHA) Başkanı ve CEO’su Rick Pollack, saldırıyı “tarihte ABD sağlık sistemine karşı türünün en önemli ve en önemli olayı” olarak nitelendirdi.
Kötü şöhretli ALPHV fidye yazılımı grubu, Change Healthcare’i 2024’ün başında sektöre karşı kasıtlı bir kampanya gibi görünen bir dizi sağlık hizmeti kurbanından biri olarak nitelendirerek sorumluluğu üstlendi.
ALPHV, hizmet olarak fidye yazılımı (RaaS) iş modelini kullandı ve fidye yazılımı saldırıları gerçekleştirmek için kullanılan yazılım ve altyapıyı, gasp ettikleri fidyelerden bir pay karşılığında bağlı kuruluşlar olarak bilinen suç çetelerine sattı.
3 Mart’ta RAMP karanlık web forumundaki bir kullanıcı, saldırının arkasındaki bağlı kuruluş olduklarını ve ALPHV’nin Change Healthcare tarafından ödenen 22 milyon dolarlık fidyenin tamamını çaldığını iddia etti. Kısa bir süre sonra ALPHV grubu, sanki grubun web sitesi FBI tarafından ele geçirilmiş gibi göstermek için tasarlanmış inandırıcı olmayan bir çıkış dolandırıcılığıyla ortadan kayboldu.
ALPHV’nin çıkışı, Change Healthcare’e 22 milyon dolarlık ödemesi için gösterecek hiçbir şey bırakmadı, fidye arayan hoşnutsuz bir bağlı kuruluş ve büyük olasılıkla iki farklı suç çetesi (ALPHV ve bağlı kuruluşu) büyük bir çalıntı veri hazinesine sahip oldu.
Şimdi, bir ay sonra, yeni gelen bir fidye yazılımı grubu olan RansomHub, web sitesinde Change Healthcare’i kurban olarak listeledi.
Bazıları Change Healthcare’in ikinci bir saldırıya uğradığını öne sürse de RansomHub sitesi 21 Şubat’ı çevreleyen olaylarla bağlantıyı oldukça açık bir şekilde ortaya koyuyor:
Giriş olarak herkese daha önce olup bitenler ve mevcut durum hakkında hızlı bir güncelleme sunacağız.
ALPHV, Change Healthcare ve United Health’in sistemlerini geri yüklemek ve veri sızıntısını önlemek için ödediği fidye ödemesini (22 Milyon ABD Doları) çaldı.
ANCAK elimizde ALPHV değil, veriler var.
RansomHub ilk olarak Şubat ayı sonlarında ortaya çıktı ve gelişi ALPHV’nin Mart ayı başında ortadan kaybolmasıyla tam olarak örtüşüyor ve bazılarının bunların iki farklı isim altında aynı grup olduğunu düşünmesine neden oluyor.
Açıklama aynı zamanda RansomHub’un “ALPHV değil, verilere sahibiz” önerisiyle ALPHV grubunun yeniden markalandığı fikrini de güçlendiriyor. Ancak bunun gibi herhangi bir kamuoyu açıklamasının, fidye yazılımı gruplarının üretken yalancılar olduğu gerçeğiyle hafifletilmesi gerekiyor.
Bağlı kuruluşların birden fazla RaaS sağlayıcısıyla çalışması alışılmadık bir durum değil; bu nedenle en olası açıklama, Change Healthcare’i yağmalayan bağlı kuruluşun parasını ALPHV’ye kaptırmasının farklı bir fidye yazılımı grubuyla eşleşmesidir.
Sebebi ne olursa olsun, Değişim Sağlık’ta hiçbir rahatlık yok. Görünüşe göre zaten ortalama talepten otuz kat daha fazla bir fidye ödemiş olan şirketin, şimdi tekrar ödeme yapıp yapmayacağına karar vermesi gerekiyor.
Diğer herkes için bu, fidye yazılımlarının ne kadar yıkıcı olabileceği ve fidye ödediğinizde bile işlerin ne kadar kötü gidebileceği konusunda bir derstir.
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya virüs bulaştırmadan önce erkenden durdurun. Fidye yazılımı sunmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren ThreatDown EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
İş çözümlerimiz, fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.