Avustralya Bilgi Komiseri tarafından yapılan korkutucu bir rapor, yanlış yapılandırmaların ve kaçırılan uyarıların nasıl bir bilgisayar korsanının Medibank'ı ihlal etmesine ve 9 milyondan fazla insandan veri çalmasına nasıl izin verdiğini detaylandırdı.
Ekim 2022'de Avustralya sağlık sigortası sağlayıcısı Medibank, şirketin faaliyetlerini bozan bir siber saldırıya uğradığını açıkladı.
Bir hafta sonra şirket, tehdit aktörlerinin müşterinin tüm kişisel verilerini ve çok sayıda sağlık talep verisini çaldığını ve 9,7 milyon kişiyi etkileyen bir veri ihlaline neden olduğunu doğruladı.
Saldırıdan elde edilen veriler daha sonra Blogxx olarak bilinen bir fidye yazılımı çetesi tarafından sızdırıldı ve bu da kapanma Revil fidye yazılımı çetesinin bir dalı olduğuna inanıldı.
Saldırı nihayetinde Avustralya, İngiltere ve ABD tarafından onaylanan Aleksandr Gennadievich Ermakov adlı bir Rus ulusalıyla bağlantılıydı.
Avustralya Bilgi Komiseri (OAIC) tarafından yayınlanan yeni bir raporda, ajansın soruşturması, önemli operasyonel başarısızlıkların bilgisayar korsanının Medibank'ın ağını ihlal etmesine izin verdiğini belirledi.
"Komiser, Mart 2021'den Ekim 2022'ye kadar, Medibank, kişisel bilgilerini kötüye kullanma ve Gizlilik Yasası 1988'in ihlalinde yetkisiz erişim veya açıklamadan korumak için makul adımlar atarak 9,7 milyon Avustralyalının gizliliğine ciddi müdahale ettiğini iddia ediyor." OAIC Press Beyanı.
Rapora göre, her şey kişisel tarayıcı profilini çalışma bilgisayarında kullanarak bir Medibank yüklenicisi (BT hizmet masası operatörü) ile başladı ve Medibank kimlik bilgilerini tarayıcıda kaydetti.
Bu kimlik bilgileri daha sonra, tehdit aktörlerinin 7 Ağustos 2022'de tarayıcısında kaydedilen tüm şifreleri çalmasına izin veren bilgi çalma kötü amaçlı yazılımlarla enfekte olan ev bilgisayarıyla senkronize edildi. (Yönetici) Hesap Medibank.
"İlgili dönemde, yönetici hesabı, ağ sürücüleri, yönetim konsolları ve atlama kutusu sunucularına (belirli Medibank dizinlerine ve veritabanlarına erişmek için kullanılır) uzaktan masaüstü erişim dahil Medibank sistemlerinin çoğuna (hepsi değilse de) erişime sahipti. OAIC raporu.
Medibank Breach'in arkasındaki saldırganın çalınan kimlik bilgilerini çevrimiçi karanlık bir web siber suç pazarından satın alıp almadığı veya bilgi çalan kötü amaçlı yazılım kampanyasını yürütüp yürütmediği belirsizdir.
Bununla birlikte, tehdit oyuncusu, şirketin Microsoft Exchange sunucusunu ilk olarak ihlal etmek ve daha sonra Medibank'ın Palo Alto Networks Global Protect Virtual Özel Ağ (VPN) uygulamasına giriş yapmak için 12 Ağustos'ta bu kimlik bilgilerini kullanmaya başladı ve kurumsal ağa dahili erişim sağladı.
Raporda, Medibank'ın VPN kimlik bilgileri üzerinde çok faktörlü kimlik doğrulama uygulamadığı ve kimlik bilgilerine erişimi olan herkesin cihaza giriş yapmasına izin verdiği için kullanıcıların verilerini koruyamadığını belirtiyor.
"Tehdit oyuncusu, yalnızca Medibank kimlik bilgilerini kullanarak Medibank'ın Global Protect VPN'sini doğrulama ve giriş yapabildi, çünkü ilgili dönemde Medibank'ın Global Protect VPN'ye erişim, iki veya daha fazla kimlik veya çok faktörlü kimlik doğrulama kanıtı gerektirmedi (MFA) Daha ziyade, Medibank'ın Global Protect VPN'si, yalnızca bir cihaz sertifikası veya bir kullanıcı adı ve şifre (Medibank kimlik bilgileri gibi) yapıldı.
Dahili ağa bu erişimi kullanarak, tehdit oyuncusu sistemlere yayılmaya başladı, 25 Ağustos ve 13 Ekim 2022 tarihleri arasında şirketin Mars veritabanından ve MPLFiler sistemlerinden 520 GB veri çalmaya başladı.
Bu veriler müşterilerin adları, doğum tarihleri, adresler, telefon numaraları, e-posta adresleri, Medicare numaraları, pasaport numaraları, sağlıkla ilgili bilgiler ve talep verileri (hasta adları, sağlayıcı adları, birincil/ikincil tanı ve prosedür kodları gibi, ve tedavi tarihleri.
Daha da kötüsü, rapor, şirketin EDR yazılımının 24 ve 25 Ağustos'ta düzgün bir şekilde tetiklenmeyen şüpheli davranışlar hakkında uyarılar verdiğini iddia ediyor.
Ekim ortasına kadar, Medibank'ın bir Microsoft Exchange Proxynotshell olayını araştırmak için bir tehdit istihbarat firması getirdiği, daha önce siber saldırıda verilerin çalındığını keşfettiler.
Bilgi çalma kötü amaçlı yazılımlar ve veri ihlalleri tarafından çalınan milyarlarca kimlik bilgisi ile, çok faktörlü kimlik doğrulama gibi ek savunmalar olmadan savunması zor olan büyük bir saldırı yüzeyi oluşturur.
Tüm kuruluşlar, kurumsal kimlik bilgilerinin bir şekilde maruz kaldığı varsayımı altında çalışmalıdır ve bu nedenle MFA kullanmak, tehdit aktörlerinin bir ağı ihlal etmesini çok zorlaştıran ek bir savunma ekler.
Bu, özellikle uzak çalışanların kurumsal ağlara giriş yapmalarına izin vermek için internette kamuya açıklanacak şekilde tasarlanmış VPN ağ geçitleri için geçerlidir.
Bununla birlikte, bu aynı zamanda fidye yazılımı çeteleri ve diğer tehdit aktörleri tarafından ağları ihlal etmek için yaygın olarak hedeflenen bir saldırı yüzeyi sağlar ve bu nedenle MFA gibi ek savunmalarla korunmalıdır.
Mevcut tehdit manzarasında gelişen MFA talepleri nasıl karşılaşılır
Microsoft Temmuz ayında Azure Çok Faktörlü Kimlik Doğrulamayı Uygulamaya Başlayacak
Yeni mürekkep balığı kötü amaçlı yazılım, kimlik bilgileri için trafiği izlemek için yönlendiricileri enfekte eder
AMD, hack forumunda satılık verilerden sonra ihlali araştırıyor
Keytronic fidye yazılımı çetesi çalınan dosyaları sızdırdıktan sonra veri ihlalini onaylar
Kaynak: Bleeping Computer