Yetkililer Sağlık Sektörünü Rhysida Group Saldırılarına Karşı Uyardı

Eğitim, hükümet, üretim, teknoloji ve yönetilen hizmetler sektörlerini hedef almasıyla tanınan Rhysida, görünüşe göre sağlık ve halk sağlığı sektörü kuruluşlarına yönelik son saldırılarla kollara ayrılıyor, Sağlık ve İnsan Hizmetleri Bakanlığı’nın Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi’ni bir uyarıda uyardı. Cuma yayınlandı.

Sağlık Bilgi Paylaşımı ve Analiz Merkezi ayrıca Information Security Media Group’a Rhysida fidye yazılımı grubunun son birkaç gün içinde birkaç hastaneyi ve sağlık sağlayıcı ağını vurduğunu söyledi.

H-ISAC baş güvenlik sorumlusu Errol Weiss, “Küresel sağlık camiasını Rhysida hakkında uyardık ve HC3 de dahil olmak üzere ortaklarımızdan önemli bilgiler ilettik” dedi.

“Kuruluşlar, bu en yeni fidye yazılımı grubunun kurbanı olmaktan kaçınmak için ağlarını güncelleme, koruma ve izleme konusunda dikkatli olmalıdır. Health-ISAC, kuruluşlara yama uygulama konusunda güncel kalmalarını, sistemleri düzenli olarak yedeklemelerini ve çok faktörlü kimlik doğrulama uygulamalarını hatırlatıyor.”

“Daha Kolay Hedefler”

Güvenlik firması Rapid7’nin baş güvenlik analisti Paul Prudhomme, ISMG’ye Rhysida’nın çifte gasp saldırıları düzenlediğini, yani grubun fidye için dosyaları şifrelediğini ve ayrıca kurbanlar ödemeyi reddederse güvenliği ihlal edilmiş verileri ifşa etmekle tehdit ettiğini söyledi.

“Bu veri yığınları büyük olasılıkla, fidye yazılımı operatörlerinin bir uzlaşmadan kaynaklanan en hassas veri kümeleri olarak algıladıkları finansal ve muhasebe kayıtları, müşteri/hasta verileri (sağlık hizmetleri olaylarında korunan sağlık bilgileri dahil) ve çalışanların kişisel olarak tanımlanabilir bilgileri gibi bilgileri içerir. veya İK kayıtları” dedi.

Prudhomme, “Rhysida’nın kamu sektörü ve eğitim gibi sağlık hizmetleri dışındaki hedefleri seçmesi, daha kolay hedefler olarak algılanan sektörlerin tercih edildiğini gösteriyor” dedi. “Rysida’nın bir fidye yazılımı hedefi olarak popülaritesi aynı zamanda taviz ve gasp karşısında algılanan savunmasızlığından da kaynaklandığından, sağlık sektörüyle ilgili daha fazla Rhysida olayı görmeyi bekliyoruz.”

HHS HC3 uyarısında, ilk olarak 17 Mayıs’ta Tor aracılığıyla barındırılan kurban destek sohbet portalının ortaya çıkmasının ardından gözlemlenen Rhysida’nın kendisini kurbanların potansiyel güvenlik zayıflıklarını vurgulamalarına ve ağlarını güvence altına almalarına yardımcı olmayı amaçlayan bir “siber güvenlik ekibi” olarak tanımladığını söyledi.

Ajans, Rhysida’nın kökenleri veya ülke bağlantıları hakkında çok az şey bilindiğini yazdı. Bugüne kadarki saldırılar, Batı Avrupa, Kuzey ve Güney Amerika ve Avustralya’daki birçok ülkede Şili Ordusuna ve diğer kurbanlara yönelik saldırıları içermektedir. HHS HC3, hedeflerin modelinin, eski Sovyet Cumhuriyeti veya Doğu Bloku ülkelerini ve Orta Asya’nın Bağımsız Devletler Topluluğu’nu hacklemekten kaçınan diğer fidye yazılımı gruplarıyla gevşek bir şekilde uyumlu olduğunu söyledi.

Derin web izleme şirketi DarkFeed Pazartesi günü Rhysida’nın 34 kurbanı olduğunu iddia etti.

Prospect Medical Holdings, yakın zamanda bir siber saldırıya maruz kalan sağlık sektörü kuruluşları arasında yer alıyor ve Pazartesi günü soruşturmaya yakın kaynaklar ISMG’ye saldırının arkasında Rhysida’nın olduğunu söyledi.

Prospect Medical, ISMG’nin Rhysida’nın saldırısında şüpheli olup olmadığı konusunda yorum yapma talebine hemen yanıt vermedi. Pazartesi günü itibariyle, Prospect’in çeşitli eyaletlerdeki 17 hastanesinin ve düzinelerce kliniğinin çoğu, geçen hafta sonlarında meydana gelen ve Kaliforniya merkezli şirketi elektronik sağlık kayıtları da dahil olmak üzere BT sistemlerini çevrimdışı duruma getirmeye zorlayan bir güvenlik olayının ardından hala iyileşiyor.

‘Amatörce’ Kod

HHS HC3 uyarısında, saldırılarında, Rhysida’nın kötü amaçlı yazılımının etkilenen klasörlere PDF notları bıraktığını ve kurbanlara grupla portalı aracılığıyla iletişime geçmelerini ve bitcoin ile ödeme yapmalarını talimat verdiğini söyledi.

HHS HC3, “Grup, hedeflerin ağlarını ihlal etmek ve yüklerini dağıtmak için kimlik avı saldırıları ve Cobalt Strike yoluyla adını taşıyan bir fidye yazılımı bırakıyor” diye yazıyor. Uyarı, Rhysida’nın MINGW/GCC kullanılarak derlenmiş bir 64-bit Taşınabilir Yürütülebilir Windows kriptografik fidye yazılımı uygulaması olduğunu söyledi. “Analiz edilen her örnekte, uygulamanın program adı Rhysida-0.1 olarak ayarlandı, bu da aracın geliştirmenin ilk aşamalarında olduğunu gösteriyor.

HHS HC3, “Aracın dikkate değer bir özelliği, kayıt defteri değiştirme komutlarını açığa çıkaran düz metin dizeleridir” dedi ve kötü amaçlı yazılımın “gelişmiş özelliklerden” yoksun göründüğünü de sözlerine ekledi.

HHS HC3, bazı güvenlik araştırmacılarının Rhysida tehdit aktörleri ile eğitim ve sağlık sektörlerindeki küçük ve orta ölçekli kuruluşları hedef alan Rus RaaS grubu Vice Society arasında bir ilişki olabileceğini iddia ettiğini söyledi.

HHS HC3, “Her iki grup arasında gerçekten bir bağlantı varsa, o zaman Rhysida’nın sağlık sektörünü geçerli bir hedef olarak görmeye başlaması an meselesidir.”

Ancak Rhysida ve Vice Society’nin bağlantılı olduğu konusunda herkes hemfikir değil.

Güvenlik firması Emsisoft’ta tehdit analisti olan Brett Callow, “Rhysida, sağlık sektörüne yönelik saldırılarda kullanılan uzun bir fidye yazılımı serisinin en sonuncusu” dedi.

ISMG’ye “Kod amatörce ve operasyonun Vice Society’nin yeniden markalaşması olduğunu veya herhangi bir şekilde onlarla bağlantılı olduğunu gösteren herhangi bir kanıtın farkında değilim. Aslında, bu pek olası görünmüyor” dedi.

H-ISAC’tan Weiss, yine de iki grup arasında bir bağ varsa, bu gelişmelerin rahatsız edici olduğunu söyledi.

“Vice Society gibi grupların fidye yazılımıyla hastanelere saldırdığını ve kritik yaşam hizmetlerini kesintiye uğrattığını gördüğümüzde, bu siber suçluların para kazanabildikleri sürece kimi kurban ettiklerini umursamadıklarını hatırlatıyor” dedi. “İnternete bağlı herkes gibi, sağlık çalışanları da potansiyel bir hedef.”