Bu yılın başlarında UnitedHealth’in sahibi olduğu sağlık teknolojisi şirketi Change Healthcare’e yönelik gerçekleşen fidye yazılımı saldırısı, ABD tarihindeki en büyük sağlık ve tıbbi veri ihlallerinden biri olarak kayıtlara geçti.
Şubat ayındaki veri ihlalinden aylar sonra, Amerika’da yaşayan “önemli bir oranda insan”, Change Healthcare’e düzenlenen siber saldırı sırasında siber suçlular tarafından kişisel ve sağlık bilgilerinin çalındığına dair posta yoluyla bir bildirim aldı.
Change Healthcare, ABD sağlık sektöründeki yüz binlerce hastane, eczane ve tıp merkezi için faturalandırma ve sigorta işlemlerini yürütmektedir. Bu nedenle, ABD’deki hastalara ait çok miktarda son derece hassas tıbbi veri toplar ve depolar. Bir dizi birleşme ve satın alma yoluyla Change, ABD sağlık verilerinin en büyük işlemcilerinden biri haline geldi ve tüm ABD sağlık işlemlerinin üçte biri ile yarısı arasında bir kısmını yönetti.
Fidye yazılımı saldırısı başladığından bu yana neler yaşandı?
21 Şubat 2024
Güvenlik olayının ortaya çıkmasıyla birlikte ilk kesinti raporu
Sıradan bir Çarşamba öğleden sonrası gibi görünüyordu, ta ki öyle olmayana kadar. Kesinti aniden gerçekleşti. 21 Şubat’ta doktor muayenehaneleri ve sağlık muayenehanelerindeki faturalama sistemleri çalışmayı bıraktı ve sigorta talepleri işleme alınmayı bıraktı. Change Healthcare’in web sitesindeki durum sayfası, işinin her bölümünü etkileyen kesinti bildirimleriyle dolup taştı ve o günün ilerleyen saatlerinde şirket “siber güvenlik sorunuyla ilgili bir ağ kesintisi yaşadığını” doğruladı. Açıkça bir şeyler çok ters gitmişti.
Change Healthcare’in güvenlik protokollerini devreye soktuğu ve sistemlerinde bulduğu davetsiz misafirleri izole etmek için tüm ağını kapattığı ortaya çıktı. Bu, Change Healthcare gibi bir avuç şirketin sağlık sigortası ve ABD’nin geniş kesimleri için faturalama taleplerini ele almasına dayanan sağlık sektöründe ani ve yaygın kesintiler anlamına geliyordu. Daha sonra, bilgisayar korsanlarının başlangıçta şirketin sistemlerine bir hafta önce, 12 Şubat civarında girdiği belirlendi.
29 Şubat 2024
UnitedHealth, fidye yazılımı çetesinin saldırısına uğradığını doğruladı
UnitedHealth, başlangıçta (ve yanlış bir şekilde) saldırıyı bir hükümet veya ulus devlet için çalışan bilgisayar korsanlarına bağladıktan sonra, 29 Şubat’ta siber saldırının aslında bir fidye yazılımı çetesinin işi olduğunu söyledi. UnitedHealth, o sırada TechCrunch’a verdiği demeçte çetenin “kendisini bize ALPHV/BlackCat olarak tanıttığını” söyledi. ALPHV/BlackCat çetesiyle ilişkili bir dark web sızıntı sitesi de saldırının sorumluluğunu üstlendi ve milyonlarca Amerikalının hassas sağlık ve hasta bilgilerini çaldığını iddia ederek, bu olayın kaç kişiyi etkilediğine dair ilk ipucunu verdi.
ALPHV (diğer adıyla BlackCat), Rusça konuşan bilinen bir fidye yazılımı hizmeti çetesidir. Çete için çalışan taşeronlar olan iştirakleri, kurban ağlarına girer ve ALPHV/BlackCat liderleri tarafından geliştirilen kötü amaçlı yazılımları dağıtır. Liderler, kurbanlardan toplanan fidyelerden elde edilen kârın bir kısmını alarak dosyalarını geri alırlar.
İhlalin bir fidye yazılımı çetesi tarafından gerçekleştirildiğinin bilinmesi, saldırının denklemini hükümetlerin yaptığı türden bir saldırıdan (bazen milyonlarca kişinin özel bilgilerini yayınlamak yerine başka bir hükümete mesaj göndermek için) tamamen farklı bir yol izleme olasılığı yüksek olan, finansal motivasyonlu siber suçluların neden olduğu bir saldırıya dönüştürdü.
3-5 Mart 2024
UnitedHealth, daha sonra ortadan kaybolan bilgisayar korsanlarına 22 milyon dolar fidye ödedi
Mart ayının başlarında, ALPHV fidye yazılımı çetesi ortadan kayboldu. Haftalar önce siber saldırının sorumluluğunu üstlenen çetenin karanlık ağdaki sızıntı sitesi, İngiltere ve ABD kolluk kuvvetlerinin çetenin sitesini çökerttiğini iddia eden bir el koyma bildirimiyle değiştirildi. Ancak hem FBI hem de İngiltere yetkilileri, aylar önce yaptıkları gibi fidye yazılımı çetesini çökertmeyi reddetti. Tüm işaretler, ALPHV’nin fidye ile kaçtığını ve bir “çıkış dolandırıcılığı” yaptığını gösteriyordu.
Change Healthcare’e yönelik saldırıyı gerçekleştiren ALPHV iştiraki, bir gönderide ALPHV liderliğinin fidye olarak ödenen 22 milyon doları çaldığını ve bir bağlantı eklediğini iddia etti. tek bir bitcoin işlemi 3 Mart’ta iddialarının kanıtı olarak. Ancak fidye ödemesinin payını kaybetmelerine rağmen, iştirak çalınan verilerin “hala bizimle” olduğunu söyledi. UnitedHealth, verileri geride bırakıp kaybolan bilgisayar korsanlarına fidye ödemişti.
13 Mart 2024
Veri ihlali korkuları nedeniyle ABD sağlık sektöründe yaygın kesintiler yaşanıyor
Bu arada, siber saldırının üzerinden haftalar geçmesine rağmen, birçok kişi reçetelerini dolduramadığı veya cebinden nakit ödemek zorunda kaldığı için kesintiler hala devam ediyordu. Askeri sağlık sigortası sağlayıcısı TriCare, “dünya çapındaki tüm askeri eczanelerin” de etkilendiğini söyledi.
Amerikan Tabipler Birliği çok az bilgi olduğunu söyleyerek UnitedHealth ve Change Healthcare’den sağlık sektöründe büyük aksaklıklara yol açan devam eden kesintilerle ilgili açıklama geldi.
13 Mart’a kadar Change Healthcare, birkaç gün önce 22 milyon dolar ödediği çalınan verilerin “güvenli” bir kopyasını almıştı. Bu, Change’in siber saldırıda kimin bilgilerinin çalındığını belirlemek için veri setini inceleme sürecini başlatmasına ve mümkün olduğunca çok sayıda etkilenen kişiye bildirimde bulunmasına olanak sağladı.
28 Mart 2024
ABD hükümeti, ALPHV’nin yakalanmasına yol açacak bilgiler için ödülü 10 milyon dolara çıkardı
Mart ayı sonlarında ABD hükümeti, ALPHV/BlackCat ve bağlı kuruluşlarının kilit liderlerine ilişkin bilgi için verdiği ödülü artırdığını duyurdu.
Çetenin arkasındaki kişileri tespit edebilen veya yerini tespit edebilen herkese 10 milyon dolar teklif ederek, ABD hükümeti çetenin içeriden birinin eski liderlerine karşı döneceğini umuyor gibi görünüyor. Ayrıca, ABD’nin önemli sayıda Amerikalının sağlık bilgilerinin potansiyel olarak çevrimiçi olarak yayınlanmasının tehdidini fark ettiği şeklinde de görülebilir.
15 Nisan 2024
Müteahhit yeni bir fidye çetesi kuruyor ve çalınan bazı sağlık verilerini yayınlıyor
Ve sonra iki tane daha vardı – fidyeler, yani. Nisan ortasına doğru, mağdur olan iştirak RansomHub adında yeni bir gasp şebekesi kurdu ve Change Healthcare’den çaldığı verileri hala elinde tuttuğu için, UnitedHealth’ten ikinci bir fidye talep etti. Bunu yaparken RansomHub, tehditlerinin kanıtı olarak özel ve hassas hasta kayıtları gibi görünen çalınan dosyaların bir kısmını yayınladı.
Fidye yazılımı çeteleri yalnızca dosyaları şifrelemez; ayrıca mümkün olduğunca çok veri çalar ve fidye ödenmezse dosyaları yayınlamakla tehdit eder. Buna “çift gasp” denir. Bazı durumlarda kurban ödediğinde, fidye yazılımı çetesi kurbandan tekrar gasp edebilir — veya diğerlerinde, kurbanın müşterilerinden gasp edebilir, buna “üçlü gasp” denir.
Artık UnitedHealth tek bir fidye ödemeye razı olduğuna göre, sağlık devinin tekrar gasp edilmesi riski vardı. Bu yüzden kolluk kuvvetleri uzun zamandır suçluların siber saldırılardan kar elde etmesine izin veren bir fidye ödemeye karşı çıkıyor.
22 Nisan 2024
UnitedHealth, fidye yazılımı korsanlarının “Amerika’daki insanların önemli bir kısmının” sağlık verilerini çaldığını söylüyor
UnitedHealth, fidye yazılımı saldırısının başlamasından iki aydan fazla bir süre sonra 22 Nisan’da ilk kez bir veri ihlali olduğunu ve bunun muhtemelen “Amerika’daki insanların önemli bir bölümünü” etkilediğini doğruladı ancak bunun kaç milyon insanı kapsadığını söylemedi. UnitedHealth ayrıca veriler için fidye ödediğini doğruladı ancak nihayetinde kaç fidye ödediğini söylemedi.
Şirket, çalınan verilerin arasında tıbbi kayıtlar ve sağlık bilgileri, teşhisler, ilaçlar, test sonuçları, görüntüleme ve bakım ve tedavi planları ve diğer kişisel bilgiler de dahil olmak üzere son derece hassas bilgilerin yer aldığını belirtti.
Change Healthcare’in Amerika Birleşik Devletleri’nde yaşayan herkesin yaklaşık üçte birinin verilerini ele aldığı göz önüne alındığında, veri ihlalinin en az 100 milyondan fazla kişiyi etkilemesi muhtemeldir. TechCrunch’a ulaştığında, bir UnitedHealth sözcüsü muhtemel etkilenen sayıyı tartışmadı ancak şirketin veri incelemesinin devam ettiğini söyledi.
1 Mayıs 2024
UnitedHealth Group CEO’su, Change’in temel siber güvenliği kullanmadığına tanıklık ediyor
Şirketinizin yakın tarihteki en büyük veri ihlallerinden birini yaşaması durumunda, genel müdürünün kanun koyucular önünde ifade vermeye çağrılması şaşırtıcı olmayacaktır.
UnitedHealth Group (UHG) CEO’su Andrew Witty’nin başına da aynısı geldi. Witty, Capitol Hill’de yaptığı açıklamada, bilgisayar korsanlarının çok faktörlü kimlik doğrulamasıyla korunmayan bir kullanıcı hesabında tek bir parola kullanarak Change Healthcare sistemlerine girdiğini itiraf etti. Çok faktörlü kimlik doğrulama, hesap sahibinin telefonuna ikinci bir kod gönderilmesini gerektiren, parolanın yeniden kullanılması saldırılarını önleyebilen temel bir güvenlik özelliğidir.
ABD tarihindeki en büyük veri ihlallerinden biri tamamen önlenebilirdi, kilit mesaj buydu. Witty, veri ihlalinin Amerika’da yaşayan insanların yaklaşık üçte birini etkilemesinin muhtemel olduğunu söyledi – bu, şirketin ihlalin Change Healthcare’in sağlık hizmetleri taleplerini işlediği kadar insanı etkilediği yönündeki önceki tahminleriyle uyumlu.
20 Haziran 2024
UHG, etkilenen hastanelere ve sağlık hizmeti sağlayıcılarına hangi verilerin çalındığını bildirmeye başladı
Change Healthcare’in, HIPAA olarak bilinen yasa gereğince yasal olarak zorunlu olan bilgilerinin çalındığını etkilenen kişilere resmen bildirmeye başlaması 20 Haziran’a kadar sürdü; çalınan veri setinin büyüklüğünden dolayı bu durum muhtemelen gecikti.
Şirket veri ihlalini açıklayan bir bildiri yayınladı ve çalınan verilerin “güvenli” kopyasında tanımladığı bireylere bildirimde bulunmaya başlayacağını söyledi. Ancak Change, her birey hakkında hangi verilerin çalındığını “tam olarak doğrulayamayacağını” ve bilgilerin kişiden kişiye değişebileceğini söyledi. Change, “etkilenen tüm bireyler için yeterli adrese sahip olmayabileceği” için bildirimi web sitesinde yayınladığını söyledi.
Olay o kadar büyük ve karmaşıktı ki ABD Sağlık ve İnsan Hizmetleri Bakanlığı araya girdi ve dedi ki Etkilenen sağlık hizmeti sağlayıcıları, hastaları nihayetinde ihlalden etkilenenler, UnitedHealth’ten etkilenen hastaları kendi adlarına bilgilendirmesini talep edebilirler; bu, devam eden kesinti nedeniyle mali durumları etkilenen daha küçük sağlayıcıların yükünü hafifletme çabası olarak görülmektedir.
29 Temmuz 2024
Change Healthcare, bilinen etkilenen bireyleri mektupla bilgilendirmeye başlıyor
Sağlık teknolojisi devi, Haziran ayı sonlarında fidye yazılımı saldırısında sağlık verileri çalınan kişilere düzenli olarak bildirimde bulunmaya başlayacağını doğruladı. Bu süreç Temmuz ayı sonlarında başladı.
Etkilenen kişilere gönderilen mektuplar, Change’deki saldırıdan etkilenen belirli sağlık hizmeti sağlayıcısı değilse, büyük olasılıkla Change Healthcare’den gelecektir. Mektup, tıbbi veriler ve sağlık sigortası bilgileri ve Change’in finansal ve bankacılık bilgilerini de içerdiğini söylediği talep ve ödeme bilgileri de dahil olmak üzere hangi tür verilerin çalındığını doğruluyor.