Michigan’daki büyük bir sağlık ağını sekteye uğratan Inc. fidye yazılımı topluluğu, en kötü saldırılarından kurtulmanın anahtarını elinde bulunduran bir şifreleyici kullanıyor.
Bir zamanlar fidye yazılımı grupları ahlaki üstünlük iddia ederken, giderek daha fazla kritik sağlık tesislerini hedef alıyorlar. Son salvo: Inc’in McLaren Health Care’e saldırısıMichigan, Indiana ve Ohio’da ve çevresinde hastaneler, hekim muayenehaneleri, sigorta planları ve daha fazlasını içeren milyarlarca dolarlık bir ağ. Saldırı, McLaren’in BT ve telefon sistemlerini kesintiye uğrattı ve hastaneler ve ayakta tedavi klinikleri “durma prosedürleri”ni tetikledi. Diğer şeylerin yanı sıra, bu, bazı acil olmayan randevuları, testleri ve tedavileri yeniden planlamayı ve hastalardan test sonuçlarının, görüntülemelerinin ve bakımları için kritik olan diğer bilgilerin fiziksel, basılı kopyalarını getirmelerini istemeyi içeriyordu.
McLaren başlangıçta herhangi bir hasta veya çalışan bilgisinin tehlikeye atılıp atılmadığını söylemedi, ancak hastanelerinden birindeki bir çalışan, Inc fidye yazılımı grubunun verilerini rehin tuttuğunu belirten basılı bir fidye notunu sızdırdı. Dark Reading, bir güncelleme için McLaren’a ulaştı.
İlginçtir ki, Inc kurbanlarının saldırıdan sonraki saatlerde başvurabilecekleri bir miktar başvuru yolu vardır. GuidePoint Security, yeni yayınlanan bir raporda, bunun nasıl yapılabileceğini açıklıyor Inc’in şifreleyicisinden sızdırılan verileri yorumlayın temiz ve başarılı bir şifre çözmenin daha olası olmasını sağlamak için.
Inc’in Şifreleyicisi Bize Ne Söylüyor
Inc, McLaren’in dosyalarını, Windows sistemlerinde “win.exe” veya “windows.exe”, Linux sürümlerinde ise “lin” olarak adlandırılan, kendisini bir sistem dosyası olarak gizleyen şifreleyicisini kullanarak kilitlemiş olabilir.
Yeni Inc şifreli dosyalar, şifreleme sürecinin doğası hakkında, şifreleme derecesi ve örüntüsü de dahil olmak üzere, çok miktarda bilgi sızdıran 80 baytlık bir altbilgi kazanır. Mağdurlar, bu bilgileri tehdit aktörüyle nasıl etkileşime girecekleri konusunda bilinçli kararlar almak için kullanabilirler.
Örneğin, alt bilgi dosyanın “Hızlı”, “Orta” veya “Yavaş” olarak şifrelenip şifrelenmediğini sızdırır. Inc hızlı girerse, dosyanın yalnızca ilk, orta ve son megabaytını şifreler. Buna karşılık, daha yavaş bir şifreleme dosyanın tüm içeriğini şifreler. Alt bilginin son 16 baytı bir dosyanın hızlı bir şekilde şifrelendiğini gösteriyorsa, kurbanlar büyük ihtimalle Inc’in şifre çözücüsü olmadan bile ticari adli tıp araçlarını kullanarak dosyayı kurtarmanın büyük bir yolunu bulabilirler.
Öte yandan, bir dosya şifrelenmiş ve .inc etiketiyle eklenmişse, ancak 80 baytlık alt bilgiye sahip değilse, bozulmuştur ve Inc’in şifre çözücüsü kullanılarak bile kurtarılamaz.
“Bir şifre çözücü edindiğinizde, etkilenen dosyaların kopyalarını alın ve bu şifre çözücüyü çalıştırmadan önce, bu alt bilgi değerlerinden bazılarını inceleyin, çünkü bazılarını hemen anlayabilirsiniz: Bunu geri alamayız,” diyor GuidePoint Security’nin tehdit istihbarat danışmanı Jason Baker. “Diğerleri için, hemen anlayabilirsiniz: Bunu birden fazla kez şifresini çözmem gerekecek. Ya da verilerin büyük çoğunluğunun aslında tam olarak şifrelenmemiş olduğunu görebilirsiniz, bu da şifre çözücü olmadan bile kurtarmanız için harika bir fırsat sunar.”
Sağlık Saldırılarında Neler Değişti?
Baker, “Önceleri bir fidye yazılımı örgütünün sağlık kuruluşlarına saldırması ve onları şifrelemesi tabu sayılıyordu. Geçtiğimiz yıl çokça gördüğümüz şey, bu normların kademeli olarak aşınması oldu” diyor.
Geçmişte, LockBit ve BlackCat/AlphV gibi gruplar, iştirakçilerin sağlık kuruluşlarına saldırmasını yasakladıklarını ve bunu yaparlarsa onları kovduklarını iddia ederlerdi. artık hesaplamanın bir parçası değilve Inc bunun mükemmel bir örneğidir. Baker, en sık hedef alınan sektörlerin, daha önce bazı fidye yazılımı gruplarının kaçındığı sektörler olduğunu söylüyor: sağlık, eğitim, kâr amacı gütmeyen kuruluşlar.
“Bunun ilk nedeni, son zamanlardaki kesintilerin büyük oyuncuların çoğunu gerçekten sinirlendirmesidir; ister LockBit ile Operasyon Cronosveya AlphV çantayı alıp kaçıyor çıkış dolandırıcılığıyla. Bazı insanların mağdurlara bakış açısını gerçekten değiştirdi,” diye açıklıyor.
Baker, “Sık sık alıntılanan ikinci nedenin bu yılın başlarında gerçekleşen Change Healthcare saldırısı olduğunu görüyorum” diye ekliyor. “Bu konuda çok fazla spekülasyon var [attackers noticing] ne kadar karlı olduğunu.”