Ana şirketi UnitedHealth’in genel müdürüne göre, ABD’li sağlık teknolojisi devi Change Healthcare’i hackleyen fidye yazılımı çetesi, şirketin çok faktörlü kimlik doğrulamayla korunmayan sistemlerine uzaktan erişmek için bir dizi çalıntı kimlik bilgisi kullandı.
UnitedHealth CEO’su Andrew Witty, ABD sağlık sisteminde aylarca aksamaya neden olan Şubat fidye yazılımı saldırısına ilişkin Çarşamba günü Temsilciler Meclisi alt komitesi duruşması öncesinde yazılı ifade verdi.
Bu, sağlık sigortası devinin, bilgisayar korsanlarının Change Healthcare’in sistemlerine nasıl sızdığına ve bu sırada büyük miktarda sağlık verisinin sistemlerden sızdırıldığına ilişkin ilk kez bir değerlendirme yaptığı belirtiliyor. UnitedHealth geçen hafta bilgisayar korsanlarının “Amerika’daki insanların önemli bir kısmının” sağlık verilerini çaldığını söyledi.
Change Healthcare, ABD’de ikamet edenlerin yaklaşık yarısı için sağlık sigortası ve fatura taleplerini işler.
Witty’nin ifadesine göre, suçlu bilgisayar korsanları “Change Healthcare Citrix portalına uzaktan erişmek için ele geçirilen kimlik bilgilerini kullandı.” Change gibi kuruluşlar, çalışanların iş bilgisayarlarına dahili ağları üzerinden uzaktan erişmesine olanak sağlamak için Citrix yazılımını kullanıyor. Witty, kimlik bilgilerinin nasıl çalındığına ilişkin ayrıntılı bilgi vermedi.
Ancak Witty, portalın “çok faktörlü kimlik doğrulamaya sahip olmadığını” söyledi; bu özellik, çalışanın telefonu gibi güvenilen cihazına ikinci bir kod gönderilmesini zorunlu kılarak çalınan şifrelerin kötüye kullanılmasını önleyen temel bir güvenlik özelliğidir. Change’in neden bu sistemde çok faktörlü kimlik doğrulamayı kurmadığı bilinmiyor, ancak bu muhtemelen sigorta şirketinin sistemlerindeki potansiyel eksiklikleri anlamaya çalışan araştırmacıların odak noktası haline gelecektir.
Witty, “Tehdit aktörü erişim sağladıktan sonra sistemler içinde daha karmaşık yöntemlerle yanlara doğru ilerledi ve verileri sızdırdı” dedi.
Witty, bilgisayar korsanlarının dokuz gün sonra 21 Şubat’ta fidye yazılımı yaydığını ve sağlık devinin ihlali kontrol altına almak için ağını kapatmasına neden olduğunu söyledi.
UnitedHealth geçen hafta şirketin siber saldırının ve ardından terabaytlarca çalınan verinin çalınmasının sorumluluğunu üstlenen bilgisayar korsanlarına fidye ödediğini doğruladı. RansomHub olarak bilinen bilgisayar korsanları, çalınan verilerin bir kısmını karanlık ağa gönderip bilgilerin satılmaması için fidye talep ettikten sonra veri hırsızlığı iddiasında bulunan ikinci çete oldu.
UnitedHealth bu ayın başlarında fidye yazılımı saldırısının ilk çeyrekte kendisine 870 milyon dolardan fazlaya mal olduğunu ve şirketin 100 milyar dolara yakın gelir elde ettiğini açıklamıştı.
Kaynak: https://techcrunch.com/2024/04/30/uhg-change-healthcare-ransomware-compromised-credentials-mfa/