Change Healthcare’deki fidye yazılımı saldırısı nasıl gerçekleşti: Bir zaman çizelgesi

Bu yılın başlarında UnitedHealth’e ait sağlık teknolojisi şirketi Change Healthcare’e yapılan fidye yazılımı saldırısı, muhtemelen tarihteki ABD sağlık ve tıbbi verilerine yönelik en büyük veri ihlallerinden biri olarak duruyor.

Şubat veri ihlalinden aylar sonra, “Amerika’da yaşayan insanların önemli bir kısmı”, Change Healthcare’e yapılan siber saldırı sırasında kişisel bilgilerinin ve sağlık bilgilerinin siber suçlular tarafından çalındığına dair posta yoluyla bildirim alıyor. Şu anda en az 100 milyon kişinin bu ihlalden etkilendiği biliniyor.

ABD sağlık sektöründeki yüz binlerce hastane, eczane ve tıbbi muayenehanenin Sağlık Hizmetleri faturalandırma ve sigorta süreçlerini değiştirin. Bu nedenle, Amerika Birleşik Devletleri’ndeki hastalarla ilgili çok miktarda son derece hassas tıbbi veriyi topluyor ve saklıyor. Bir dizi birleşme ve satın alma yoluyla Change, ABD sağlık verilerinin en büyük işleyicilerinden biri haline geldi ve ABD’deki tüm sağlık işlemlerinin üçte biri ile yarısı kadarını yönetti.

Fidye yazılımı saldırısı başladığından bu yana olanlar şöyle:

21 Şubat 2024

Güvenlik olayının ardından ilk kesinti raporu geldi

Sıradan bir çarşamba öğleden sonrası gibi görünüyordu, ta ki öyle olmayana kadar. Kesinti ani oldu. 21 Şubat’ta doktor muayenehaneleri ve sağlık muayenehanelerindeki faturalandırma sistemleri çalışmayı durdurdu ve sigorta talepleri işlemeyi durdurdu. Change Healthcare’in web sitesindeki durum sayfası, işin her bölümünü etkileyen kesinti bildirimleriyle doldu ve o günün ilerleyen saatlerinde şirket, “siber güvenlik sorunuyla ilgili bir ağ kesintisi yaşadığını” doğruladı. Bir şeylerin çok ters gittiği açıktı.

Change Healthcare’in sistemlerinde bulduğu davetsiz misafirleri izole etmek için güvenlik protokollerini çalıştırdığı ve tüm ağını kapattığı ortaya çıktı. Bu, Amerika Birleşik Devletleri’nin geniş bir bölümünde sağlık sigortası ve faturalandırma taleplerini ele almak için Change Healthcare gibi bir avuç şirkete bağımlı olan sağlık sektörü genelinde ani ve yaygın kesintiler anlamına geliyordu. Daha sonra bilgisayar korsanlarının şirketin sistemlerine bir hafta kadar önce, yani 12 Şubat’ta veya buna yakın bir tarihte sızdıkları belirlendi.

29 Şubat 2024

UnitedHealth fidye yazılımı çetesinin saldırısına uğradığını doğruladı

UnitedHealth, başlangıçta (ve yanlış bir şekilde) saldırıyı bir hükümet veya ulus devlet için çalışan bilgisayar korsanlarına atfettikten sonra 29 Şubat’ta siber saldırının aslında bir fidye yazılımı çetesinin işi olduğunu söyledi. UnitedHealth, o sırada bir şirket sözcüsünün TechCrunch’a söylediğine göre çetenin “kendisini bize ALPHV/BlackCat olarak temsil ettiğini” söyledi. ALPHV/BlackCat çetesiyle bağlantılı bir karanlık ağ sızıntı sitesi de saldırıdan pay aldı ve milyonlarca Amerikalının hassas sağlık ve hasta bilgilerini çaldığını iddia ederek, bu olayın kaç kişiyi etkilediğine dair ilk göstergeyi verdi.

ALPHV (diğer adıyla BlackCat), Rusça konuşan, hizmet olarak fidye yazılımı çetesi olarak bilinen bir çetedir. Çete için çalışan müteahhitler olan bağlı kuruluşları, kurban ağlarına sızıyor ve ALPHV/BlackCat liderleri tarafından geliştirilen kötü amaçlı yazılımları dağıtıyor; bu liderler, kurbanların dosyalarını geri almak için kurbanlardan toplanan fidyelerden toplanan kârdan bir pay alıyor.

İhlalin bir fidye yazılımı çetesinden kaynaklandığını bilmek, saldırının denklemini, hükümetlerin yaptığı hackleme türünden (bazen milyonlarca insanın özel bilgilerini yayınlamak yerine başka bir hükümete mesaj göndermek için) finansal motivasyonlu siber suçluların neden olduğu bir ihlale dönüştürdü. maaşlarını almak için tamamen farklı bir taktik kullanmaları muhtemel.

3-5 Mart 2024

UnitedHealth, daha sonra ortadan kaybolan bilgisayar korsanlarına 22 milyon dolar fidye ödüyor

Mart ayı başında ALPHV fidye yazılımı çetesi ortadan kayboldu. Çetenin, siber saldırıyı haftalar önce üstlenen karanlık ağdaki sızıntı sitesinin yerini, Birleşik Krallık ve ABD kolluk kuvvetlerinin çetenin sitesini çökerttiğini iddia eden bir el koyma bildirimi aldı. Ancak hem FBI hem de Birleşik Krallık yetkilileri, aylar önce denedikleri gibi fidye yazılımı çetesini çökertmeyi reddetti. Tüm işaretler ALPHV’nin fidyeyi alıp bir “çıkış dolandırıcılığı” yaptığına işaret ediyordu.

Change Healthcare’i hackleyen ALPHV üyesi, bir gönderide ALPHV liderliğinin fidye olarak ödenen 22 milyon doları çaldığını ve iddialarının kanıtı olarak 3 Mart’ta yapılan tek bir bitcoin işlemine bir bağlantı eklediğini iddia etti. Ancak fidye ödemesinden paylarını kaybetmelerine rağmen ortak, çalınan verilerin “hala bizimle” olduğunu söyledi. UnitedHealth, verileri geride bırakıp ortadan kaybolan bilgisayar korsanlarına fidye ödemişti.

22 milyon dolarlık fidye ödemesinin alınmasından kısa bir süre sonra BlackCat’in karanlık web sızıntı sitesinde sahte bir kolluk kuvveti el koyma bildirimi yayınlandı.Resim Kredisi:TechCrunch (ekran görüntüsü)

13 Mart 2024

Veri ihlali korkusu nedeniyle ABD sağlık hizmetlerinde yaygın kesinti

Bu arada, siber saldırının üzerinden haftalar geçmesine rağmen kesintiler hâlâ devam ediyordu; pek çok kişi reçetelerini dolduramadı veya cebinden nakit ödemek zorunda kaldı. Askeri sağlık sigortası sağlayıcısı TriCare, “dünya çapındaki tüm askeri eczanelerin” de etkilendiğini söyledi.

Amerikan Tabipler Birliği, UnitedHealth ve Change Healthcare’den devam eden kesintiler hakkında çok az bilgi bulunduğunu ve bunun sağlık sektörü genelinde dalgalanmaya devam eden büyük bir aksamaya neden olduğunu söyledi.

Change Healthcare, 13 Mart itibarıyla, birkaç gün önce 22 milyon dolar ödediği çalınan verilerin “güvenli” bir kopyasını almıştı. Bu, Change’in siber saldırıda kimin bilgilerinin çalındığını belirlemek ve etkilenen mümkün olduğunca çok sayıda kişiyi bilgilendirmek amacıyla veri kümesini inceleme sürecini başlatmasına olanak tanıdı.

28 Mart 2024

ABD hükümeti ALPHV’nin yakalanmasına yol açacak bilgi için ödülü 10 milyon dolara çıkardı

Mart ayı sonlarında ABD hükümeti, ALPHV/BlackCat ve bağlı kuruluşlarının kilit liderleri hakkında bilgi almak için verilen ödülü artıracağını duyurdu.

ABD hükümeti, çetenin arkasındaki kişileri tespit edebilecek veya yerini tespit edebilecek herkese 10 milyon dolar teklif ederek, çetenin içinden birinin eski liderlerine sırt çevireceğini umuyor gibi görünüyordu. Aynı zamanda ABD’nin, önemli sayıda Amerikalının sağlık bilgilerinin potansiyel olarak çevrimiçi yayınlanması tehdidini fark etmesi olarak da görülebilir.

15 Nisan 2024

Yüklenici yeni fidye çetesi kuruyor ve çalınan bazı sağlık verilerini yayınlıyor

Ve sonra iki tane vardı; yani fidye. Nisan ortasına gelindiğinde mağdur bağlı kuruluş, RansomHub adında yeni bir gasp şantajı kurdu ve Change Healthcare’den çaldığı veriler hâlâ elinde olduğundan, UnitedHealth’ten ikinci bir fidye talep etti. Bunu yaparken RansomHub, tehditlerinin kanıtı olarak özel ve hassas hasta kayıtları gibi görünen çalıntı dosyaların bir kısmını yayınladı.

Fidye yazılımı çeteleri yalnızca dosyaları şifrelemez; ayrıca mümkün olduğu kadar çok veri çalıyorlar ve fidye ödenmediği takdirde dosyaları yayınlamakla tehdit ediyorlar. Buna “çifte gasp” adı veriliyor. Bazı durumlarda kurban ödeme yaptığında, fidye yazılımı çetesi kurbana tekrar şantaj yapabilir veya bazı durumlarda, “üçlü şantaj” olarak bilinen şekilde kurbanın müşterilerini şantaj yapabilir.

Artık UnitedHealth bir fidye ödemeye hazır olduğundan, sağlık devinin tekrar gasp edilme riski vardı. Bu nedenle kolluk kuvvetleri, suçluların siber saldırılardan kâr elde etmesine olanak tanıyan fidye ödemesine karşı uzun süredir savunuculuk yapıyor.

22 Nisan 2024

UnitedHealth, fidye yazılımı korsanlarının “Amerika’daki insanların önemli bir kısmının” sağlık verilerini çaldığını söyledi

UnitedHealth ilk kez 22 Nisan’da – fidye yazılımı saldırısının başlamasından iki aydan fazla bir süre sonra – bir veri ihlali olduğunu ve bunun muhtemelen “Amerika’daki insanların önemli bir bölümünü” etkilediğini doğruladı; kaç milyon insanı etkilediğini söylemeden. gerektirir. UnitedHealth ayrıca veriler için fidye ödediğini doğruladı ancak sonuçta kaç fidye ödediğini söylemedi.

Şirket, çalınan verilerin tıbbi kayıtlar ve sağlık bilgileri, teşhisler, ilaçlar, test sonuçları, görüntüleme ve bakım ve tedavi planları ile diğer kişisel bilgiler de dahil olmak üzere son derece hassas bilgiler içerdiğini söyledi.

Change Healthcare’in ABD’de yaşayan herkesin yaklaşık üçte birine ait verileri işlediği göz önüne alındığında, veri ihlalinin en az 100 milyondan fazla insanı etkilemesi muhtemel. TechCrunch’a ulaşıldığında UnitedHealth sözcüsü etkilenen rakama itiraz etmedi ancak şirketin veri incelemesinin devam ettiğini söyledi.

1 Mayıs 2024

UnitedHealth Group CEO’su Change’in temel siber güvenliği kullanmadığını ifade etti

Belki de şirketiniz yakın tarihteki en büyük veri ihlallerinden birini yaşadığında, CEO’sunun yasa koyucular önünde ifade vermeye çağrılması hiç de şaşırtıcı değil.

UnitedHealth Group (UHG) CEO’su Andrew Witty, Capitol Hill’de bilgisayar korsanlarının, çok faktörlü kimlik doğrulamayla korunmayan bir kullanıcı hesabındaki tek bir parola kullanarak Change Healthcare’in sistemlerine girdiğini itiraf etti; bu, temel bir güvenlik özelliğidir. Hesap sahibinin telefonuna ikinci bir kodun gönderilmesini isteyerek şifrenin yeniden kullanılması saldırılarını önleyin.

Temel mesaj, ABD tarihindeki en büyük veri ihlallerinden birinin tamamen önlenebilir olduğuydu. Witty, veri ihlalinin muhtemelen Amerika’da yaşayan insanların yaklaşık üçte birini etkileyeceğini söyledi; bu, şirketin ihlalin Change Healthcare’in sağlık hizmetleri taleplerini işlediği kişi sayısı kadar kişiyi etkilediği yönündeki önceki tahminlerine paraleldir.

UnitedHealth CEO’su Andrew Witty, 1 Mayıs 2024’te Washington DC’de Capitol Hill’de Senato Finans komitesi önünde ifade verdiResim Kredisi:Kent Nishimura / Getty Images

20 Haziran 2024

UHG, etkilenen hastanelere ve tıbbi sağlayıcılara hangi verilerin çalındığını bildirmeye başladı

Change Healthcare’in etkilenen kişilere bilgilerinin çalındığını resmi olarak bildirmeye başlaması 20 Haziran’a kadar sürdü; bu, yaygın olarak HIPAA olarak bilinen bir yasa uyarınca yasal olarak gerekliydi ve muhtemelen çalınan veri kümesinin büyüklüğü nedeniyle kısmen gecikmişti.

Şirket, veri ihlalini açıklayan bir bildirim yayınladı ve çalınan verilerin “güvenli” kopyasında tespit ettiği kişileri bilgilendirmeye başlayacağını söyledi. Ancak Change, her bir kişi hakkında hangi verilerin çalındığının “tam olarak doğrulanamayacağını” ve bilgilerin kişiden kişiye değişebileceğini söyledi. Change, “etkilenen tüm bireyler için yeterli adrese sahip olmayabileceği” için bildirimi web sitesinde yayınladığını söyledi.

Olay o kadar büyük ve karmaşıktı ki, ABD Sağlık ve İnsani Hizmetler Bakanlığı devreye girdi ve hastaları ihlalden eninde sonunda etkilenen sağlık hizmeti sağlayıcılarının UnitedHealth’ten etkilenen hastaları kendileri adına bilgilendirmesini isteyebileceğini söyledi. Devam eden kesinti nedeniyle mali durumları darbe alan küçük sağlayıcıların üzerindeki yük.

29 Temmuz 2024

Change Healthcare, etkilenen kişileri mektupla bilgilendirmeye başlıyor

Sağlık teknolojisi devi, Haziran ayı sonlarında, fidye yazılımı saldırısında sağlık verileri çalınanları sürekli olarak bilgilendirmeye başlayacağını doğruladı. Bu süreç Temmuz ayı sonlarında başladı.

Etkilenen kişilere gönderilen mektuplar, Change’deki saldırıdan etkilenen sağlık hizmeti sağlayıcısı olmasa da büyük olasılıkla Change Healthcare’den gelecektir. Mektup, Change’in mali ve bankacılık bilgilerini içerdiğini söylediği tıbbi veriler ve sağlık sigortası bilgileri ile talepler ve ödeme bilgileri de dahil olmak üzere ne tür verilerin çalındığını doğruluyor.

24 Ekim 2024

UnitedHealth, veri ihlalinden en az 100 milyon kişinin etkilendiğini doğruladı

Sağlık sigortası devinin bunu duyurması sekiz aydan fazla sürdü, ancak artık veri ihlalinin 100 milyondan fazla kişiyi etkilediği doğrulandı. Bazılarının ekim ayı gibi yakın bir tarihte veri ihlali bildirimleri aldığı göz önüne alındığında, etkilenenlerin sayısının artması bekleniyor. ABD Sağlık ve İnsani Hizmetler Bakanlığı, güncellenen numarayı 24 Ekim’de veri ihlali portalında bildirdi.

Şu anki haliyle, Change Healthcare’deki veri ihlali şu anda ABD tıbbi kayıtlarının en büyük dijital hırsızlığı ve yaşam tarihindeki en büyük veri ihlallerinden biri.

Kaynak: https://techcrunch.com/2024/10/24/how-the-ransomware-attack-at-change-healthcare-went-down-a-timeline/