4/30/24: Daha önce bilgi çalan kötü amaçlı yazılımlar tarafından çalınan Healthcare Citrix kimlik bilgileri hakkında aşağıda eklendi.
UnitedHealth, Change HealthCare'in ağının, şirketin çok faktörlü kimlik doğrulama etkin olmayan Citrix uzaktan erişim hizmetine giriş yapmak için çalınan kimlik bilgilerini kullanan Blackcat Fidye yazılımı çetesi tarafından ihlal edildiğini doğruladı.
Bu, UnitedHealth CEO'su Andrew Witty'nin yarın planlanan bir House Energy ve Ticaret Alt Komitesi duruşmasının önünde yayınlanan yazılı ifadesinde ortaya çıktı.
Fidye yazılımı Saldırısı Sağlık Hizmetleri Şubat 2024'ün sonlarında meydana geldi ve Optum'un Değişim Sağlık Platformunda ciddi operasyonel kesintilere yol açtı.
Bu, ödeme işleme, reçeteli yazma ve sigorta talepleri de dahil olmak üzere ABD genelinde sağlık hizmeti sağlayıcıları tarafından kullanılan çok çeşitli kritik hizmetleri etkiledi ve 872 milyon dolar olarak tahmin edilen finansal zararlara neden oldu.
Daha önce, Blackcat fidye yazılımı, saldırıyı bir çıkış dolandırıcılığında yapan iştirakten çalınan UnitedHealth'ten 22 milyon dolarlık fidye ödemesi aldıklarını iddia etti. Kısa bir süre sonra, bağlı kuruluş hala verilere sahip olduğunu iddia etti ve çalıntı verileri sızdırarak ek bir gasp talebi başlatmak için RansomHub ile ortaklık kurdu.
Healthcare Org kısa bir süre önce, insanın gelişim sonrası verilerini korumak için bir fidye ödediğini itiraf etti, ancak saldırı hakkında hiçbir ayrıntı veya bunu gerçekleştiren resmi olarak açıklandı.
Ransomhub o zamandan beri değişim sağlık girişini sitesinden çıkardı ve bu da ek bir fidye ödendiğini gösterdi.
Andrew Witty'nin ifadesinde CEO, saldırının 21 Şubat sabahı, tehdit aktörlerinin sistemleri şifrelemeye ve kuruluşun çalışanlarına erişilemediği zaman meydana geldiğini doğruladı.
Şirket ilk kez BlewingComputer'ın ALPHV/Blackcat fidye yazılımı operasyonunun saldırının arkasında olduğunu bildirdi.
Halka açılan gerçek saldırı 21 Şubat'ta gerçekleşirken, Witty, saldırganın şifrelemelerini konuşlandırmadan önce yaklaşık on gün boyunca şirketin ağına erişebildiğini açıkladı. Bu süre zarfında, tehdit aktörleri ağdan yayıldı ve gasp denemelerinde kullanılacak kurumsal ve hasta verilerini çaldı.
Halen devam eden soruşturmalar, saldırganların ilk olarak 12 Şubat 2024'te çalıntı çalışan kimlik bilgilerini kullanarak Healthcare'in Citrix portalını değiştirmeye erişim sağladığını ortaya koydu. Bu kimlik bilgilerinin başlangıçta bir kimlik avı saldırısı veya bilgi çalan kötü amaçlı yazılımlar yoluyla çalınan olup olmadığı bilinmemektedir.
Witty, "12 Şubat'ta suçlular, masaüstlerine uzaktan erişimi sağlamak için kullanılan bir başvuru olan bir değişiklik Sağlık Citrix portalına uzaktan erişmek için uzlaşmış kimlik bilgilerini kullandı."
"Portalın çok faktörlü kimlik doğrulaması yoktu. Tehdit oyuncusu erişim kazandıktan sonra, sistemler içinde daha sofistike bir şekilde yanal olarak hareket ettiler ve veriler. Fidye yazılımı dokuz gün sonra dağıtıldı."
CEO ayrıca kişisel bir anı paylaştı ve bir fidye ödeme seçiminin tamamen onun ve vermesi gereken en zor kararlardan biri olduğunu belirtti.
Witty ifadesinde, "İcra Kurulu Başkanı olarak, fidye ödeme kararı benimdi. Bu şimdiye kadar vermem gereken en zor kararlardan biriydi. Ve kimseye istemem."
Witty, saldırıdan sonra sistemlerini güvence altına almak için acil eylemlerini daha da özetledi, onları "hızlı ve güçlü" olarak nitelendirdi, bunun insanlar üzerindeki etkisini bilmesine rağmen her şeyi düşürerek tehdidin başarıyla içerildiğini belirtti.
Saldırı takiben, kuruluşun BT ekibi binlerce dizüstü bilgisayarın yerini aldı, kimlik bilgilerini döndürdü ve sadece birkaç hafta içinde Change Healthcare'in veri merkezi ağını ve çekirdek hizmetlerini tamamen yeniden inşa etti. Esprili, böyle bir görevin genellikle birkaç ay süreceğini belirtiyor.
Her ne kadar çevrimiçi sızan veri örnekleri korumalı sağlık bilgileri (PHI) ve kişisel olarak tanımlanabilir bilgiler (PII) içermesine rağmen, esprili, şimdiye kadar doktorların grafikleri veya tam tıbbi geçmişler gibi malzemelerin pespiltrasyonuna dair hiçbir kanıt görmediklerine dikkat çekiyor.
Etkilenen hizmetlerin statüsü ile ilgili olarak, eczane ağları normal, tıbbi talepler neredeyse normal seviyelerde akar ve ödeme işlemesi, sonuç öncesi seviyelerin yaklaşık% 86'sında faaliyet göstermektedir.
GÜNCELLEME 4/30/24: Hikayemizi yayınladıktan sonra Hudson Rock CTO Alon Gal, BleepingComputer'a 8 Şubat'ta şirketin tehdit istihbarat platformunun bilgi çalan kötü amaçlı yazılım yoluyla çalınan bir değişiklik tespit ettiğini söyledi.
Çalınan kimlik bilgileri URL RemoteApps [.] ChangeHealthCare [.] Com/vpn/index.htm ile ilişkilidir ve bu siteye artık erişilemeyecek olsa da, BleepingComputer, Change HealthCare'in Citrix ağ geçidi giriş sayfası için URL olduğunu doğruladı.
Bunların Healthcare'in ağlarını değiştirmek ve fidye yazılımı saldırısını yürütmek için kullanılan kimlik bilgileri olup olmadığı bilinmemektedir.
UnitedHealth, veri sızıntısını durdurmak için fidye yazılımı çetesi ödediğini doğruladı
UnitedHealth: Change Healthcare Cyberattack 872 milyon dolar kaybına neden oldu
Fidye yazılımı çetesi, çalınan iddia edilen değişim sağlık verilerini sızdırmaya başladı
Biz fidye yazılımı çetesi çalınırsa, sağlık verilerini değiştir
Ransomware'de Hafta - 8 Mart 2024 - Blackcat REBRAND'ı bekliyorum
Kaynak: Bleeping Computer