Avustralyalı özel sağlık sigortası devi siber suçluların fidye talebini ödemeyeceğine söz verdikten sonra, Rusya’da konuşulan kötü şöhretli REvil çetesiyle bağlantıları olduğundan şüphelenilen bir fidye yazılımı grubu, milyonlarca Medibank müşterisinin kişisel bilgilerini ifşa etmekle tehdit etti.
Avustralya’nın en büyük sağlık sigortası sağlayıcısı Medibank, ilk kez ifşa 13 Ekim’de, ağında olağandışı bir etkinlik tespit ettiğini ve olayı kontrol altına almak için acil adımlar attığını söyleyen bir “siber olay”. Günler sonra şirket, müşteri verilerinin çalınmış olabileceğini söyledi.
İçinde bir güncelleme Bu hafta yayınlanan Melbourne merkezli Medibank, saldırganların adlar, doğum tarihleri, e-posta adresleri ve pasaport numaraları dahil olmak üzere yaklaşık 9,7 milyon müşterinin kişisel bilgilerine eriştiğini itiraf etti.
Siber suçlular ayrıca, hizmet sağlayıcı adları ve müşterilerin belirli tıbbi hizmetleri aldığı konumlar ve teşhis ve uygulanan prosedürlerle ilgili kodlar dahil olmak üzere yaklaşık 500.000 müşterinin sağlık iddia verilerine de erişti. Siber suçlular, Medibank’ın My Home Hospital uygulamasının 5.200 kullanıcısı için bazı kişisel ve sağlık iddiaları verilerine ve bazılarının en yakın akraba iletişim bilgilerine erişti.
Medibank CEO’su David Koczkar, sağlık sigortası devi, saldırganların muhtemelen erişebildikleri tüm verileri sızdırdığına inansa da, kuruluşun fidye talebini ödemeyeceğini söyledi.
Koçzkar, “Siber suç uzmanlarından aldığımız kapsamlı tavsiyelere dayanarak, bir fidye ödemenin yalnızca sınırlı bir şansı olduğuna inanıyoruz, müşterilerimizin verilerinin iadesini sağlayacağına ve yayınlanmasını engelleyeceğine inanıyoruz” dedi. CEO, ödemenin bilgisayar korsanlarını müşterileri doğrudan gasp etmeye çalışarak üçlü gasp taktiği benimsemeye teşvik edebileceğini de sözlerine ekledi.
Koçzkar’ın açıklamasını takiben, feshedilmiş REvil grubunun yeniden marka haline geldiğine inanılan bir fidye yazılımı çetesi, çalınan Medibank verilerini sızdırmakla tehdit etti. TechCrunch tarafından görülen yeni dark web sızıntısı sitesi, Medibank’ı kurbanlarından biri olarak listeledi ve sızdırılan verileri herkese açık olarak yayınlamayı planladığını söyledi. Çete, Medibank’ın ağından ne kadar veri sızdırdığını söylemedi ve iddialarına ilişkin kanıtları paylaşmadı.
Yeni sızıntı sitesi ile ABD makamlarının Ekim ayında çetenin Colonial Pipeline’a yönelik fidye yazılım saldırılarını hedef almasının ardından operasyonu devre dışı bırakmasıyla kararan REvil arasındaki bağlantılar, JBS Gıdalar ve ABD teknoloji firması Kaseya belirsizliğini koruyor. Emsisoft’ta fidye yazılımı uzmanı ve tehdit analisti olan Brett Callow, yeni operasyonun REvil’in dosya şifreleme web sitesinin bir çeşidini kullandığını ve REvil’in eski web sitesinin artık yeni sızıntı sitesine yönlendirdiğini söyledi.
Medibank, çetenin tehditlerini “üzücü bir gelişme” olarak nitelendirdi. ikinci güncelleme Salı günü yayınlandı ve müşterileri tüm çevrimiçi iletişim ve işlemlerde dikkatli olmaya çağırdı.
“Müşterilerimizden kayıtsız şartsız özür dileriz. Müşterilerimizi koruma ve destekleme sorumluluğumuzu ciddiye alıyoruz” dedi. “Özel bilgilerinin silaha dönüştürülmesi kötü niyetli ve bu, topluluğumuzun en savunmasız üyelerine yönelik bir saldırıdır.”
Medibank, müşteri verilerinin paylaşılmasını ve satılmasını önlemek için Avustralya Siber Güvenlik Merkezi ve Avustralya Federal Polisi de dahil olmak üzere Avustralya Hükümeti ile birlikte çalıştığını da sözlerine ekledi. Medibank saldırısı haberi, Avustralya’nın en büyük ikinci telekom operatörü Optus’un ihlal edilmesinden sadece haftalar sonra geldi. Avustralya hükümeti, insanların verilerini yeterince koruyamayan şirketlerin 50 milyon dolar veya daha fazla para cezasıyla karşı karşıya kalacağını öngören bir yasa değişikliğini onayladı.