Fransa’da hastaneye fidye yazılım saldırısı düzenleyen siber tehdit aktörleri, sağlık kurumunda verilen hizmetleri durma noktasına getirdi.
Sağlık Bakanlığından yapılan açıklamada, Versailles Sarayı’nın da yer aldığı Paris’in güney batısındaki banliyö Yvelines’deki André Mignot Hastanesinde siber saldırı sonrası bütün işlemler aksadı.
France Info haber kanalına göre hastane bilgisayarlarının ekranlarında “Tüm önemli dosyalarınız çalındı ve şifrelendi. Talimatlarımızı takip edin.” ifadelerinin yer aldığı bir mesaj görüntülendi.
Hastanede tedavi gören acil durumdaki 6 hasta başka bir kuruma nakledildi. Kurumda şimdilik hafif durumdaki hastalara hizmet veriliyor. İletişimleri tamamen kesilen sağlık çalışanları kalem ve kağıtla not ederek birçok işlemi klasik yollarla yapmaya çalışıyor.
Benzer bir saldırı geçtiğimiz Ağustos ayında Paris’in güney banliyösü Corbeil-Essonnes’da bulunan hastaneye düzenlenmişti. LockBit grubu hastaneden 10 milyon dolar fidye talep etmişti.
Son zamanların en büyük siber saldırılarıyla karşılan iki şirketin tepe yöneticileri, sistemlerine yönelik saldırı anıyla ilgili önceliklerini günlük işleri ikinci plana atarak saldırıya derhal karşılık vermek şeklinde değiştirdiklerini anlattı.
Bir siber güvenlik zirvesinde bir araya gelen yöneticiler, muhtemel siber saldırılar durumunda neler yapılabileceği konusundaki düşüncelerini paylaştı. Yakın zamanda önemli saldırılara muhatap olan Colonial Pipeline ve Accellion’un CEO’ları geçmiş tecrübelerini aktardı ve tehdit anında en tepe yönetimin dahi aktif olarak plana dâhil olduğunu belirtti.
Mandiant Siber Güvenlik Zirvesi Washington’da gerçekleşti. Colonial Pipeline’ın başkanı ve CEO’su Joe Blount, Accellion başkanı ve CEO’su Jonathon Yaron ve Mandiant kıdemli başkan yardımcısı ve CTO’su Charles Carmakal açılış paneli sırasında görüşlerini ve deneyimlerini paylaştı.
Blount, şirketinin büyük bir siber saldırıya uğradığını öğrendiklerinde, var güçleriyle anında karşılık vermek için günlük işlerini ikinci plana attıklarını söyledi. Firmasının 4,4 milyon dolarlık bir fidye ödemek zorunda bırakıldığı bir saldırı anında aklında geçen düşünceleri paylaşan Blount, “Alışageldiğiniz CEO’luk işi birkaç saat önce adeta kapıdan çıktı ve bir süre gelecek gibi de görünmüyor.” ifadelerini kullandı.
“CEO’NUN SORUMLULUĞU SALDIRIYI KONTROL ALTINA ALMAK”
Blount, bu saldırıda tüm diğer yöneticiler ve çalışanlar gibi, şirketin verdiği karşılıkta aktif rol almış. Blount, “Böyle bir olay yaşandığında, yeteri kadar zaman ya da insan olmuyor. Mecburen iş başa düşüyor.” şeklinde konuştu.
Saldırıya dair ayrıntılar, karşılık verme ve toparlanma hakkında ABD Enerji Bakanlığı ile iletişimi kuran “kanal” olarak görev yapan üst düzey yönetici, “Bizim durumumuzda saldırının ardından, CEO’nun sorumluluğu saldırıyı hemen kontrol altına almak ve durumu düzeltmek oluyor. Odak noktası buna dönüşüyor.” dedi.
Söz konusu saldırıda Blount, bakanlık aracılığıyla federal hükümetle neler yaşandığı hakkında ve Colonial Pipeline ve Mandiant da dâhil olmak üzere olay müdahale ekibinin elde ettiği bulgular hakkında brifinglere katılmış.
Blount, “Hükümetle o tek kanalı kurmuş olmak, bize Beyaz Saray’dan, tüm düzenleyicilere ve benzer şirketlerle bilgi paylaşımı konusunda yardımsever davranan lobici gruplara kadar birçok kişi ve kurumla iletişim kurma imkânı sağladı” değerlendirmesini yaptı ve bu yolla diğer kurumlara da tehditlere karşı dolaylı olarak uyarılmış olduğunu söyledi.
İsrailli 8200 istihbarat biriminin eski bir üyesi olan Accellion’dan Yaron ise şirketin eski Dosya Transfer Cihazı platformunda bir ay arayla gerçekleşen iki saldırıyı hatırlattı. Ocak sonunda gerçekleşen ikinci saldırı hakkında birilerinin bize zekasıyla alt ettiğini anlıyoruz yorumun yapan Yaron, “[Bu kişiler] bizim bilmediğimiz bir şeyleri biliyorlardı.” diye konuştu.
Saldırı ilk olarak, bazı şirketler tarafından büyük dosyaların transferi için kullanılan 20 yıllık bir teknolojinin bir akademik kurumda alarm vermesinin ardından Accellion ile temasa geçmesiyle fark edildi. İlk etapta saldırının bir devlet tarafından mı yoksa ticari bir kuruluş tarafından mı düzenlediği ya da tekil bir olay vaka olup olmadığı belirsizdi. Bankalar, ABD devlet kurumları ve büyük bir sağlık kuruluşu hala eski ürünü kullanan müşteriler arasındaydı.
“BÜYÜK ÇOĞUNLUK BİZİ DİNLEDİ VE SİSTEMLERİ KAPATTI”
“Birinci öncelik saldırının büyüklüğünü anlamaktı.” diyen Yaron, ilk değerlendirmelere göre, 300’e yakın kuruluşun mağdur olabileceği değerlendirildiğini söyledi. Araştırmalar sonunda, 90’a yakın saldırının gerçekleştiğini ve bunların 35’inin ciddi zarar verebildiği tespit edildi.
Saldırı sonucunda müşteri verileri çalındı ve daha sonra siber suçlular tarafından kaldıraç olarak kullanılan gasp girişimleri yaşandı. Satıcı, saldırının fark edilmesinden sonraki 72 saat içinde Aralık ayındaki ilk 0-day gün saldırısı için bir yama yayınladı ve ayrıca müşterilerini mevcut Kiteworks güvenlik duvarı platformuna geçmeye davet etti. Ancak 1 Şubat’ta, platformda bir zafiyeti daha tespit eden hackerlar tekrar saldırıya geçti.
Mandiant; ABD, Kanada, Hollanda ve Singapur’daki şirketlerden gelen verilerin Fin11 olarak bilinen Rus siber suç çetesiyle bağlantılı bir Dark Web sitesine düştüğünü tespit etti. Saldırının önde gelen kurbanları arasında Kroger, Jones Day ve Singtel gibi ünlü firmalar yer aldı.
Müşterilerini derhal müşterileri FTA sistemlerini kapatmaya çağırdıklarını söyleyen Yaron, “Büyük çoğunluk bizi dinledi ve sistemleri kapattı ve müşterilerimizden en fazla %10’u ağır hasar aldı.” dedi.
ABD’nin Alabama şehrinde yaşanan bir olay ‘siber savaş’ tanımıyla ilgili güncel tartışmaları yeni bir boyuta taşıyacağa benziyor. Teiranni Kidd isimli bir kadın yeni doğan bebeğine yeterli bakım sağlanmadığı için öldüğü suçlamasıyla sağlık kurumuna dava açtı.
The Wall Street Journal’ın haberine göre, Kidd, The Springhill Medical Center adlı hastanenin uğradığı siber saldırıya gerektiği gibi karşılık veremediği için sağlık hizmetlerinde aksama yaşandığı ve bu yüzden bebeğini kaybettiğini iddia ederek hastaneyi mahkemeye verdi.
Anne karnında göbek kordonunun bebeğin boynuna dolanması sonucu bebeğin beyninde hasar oluştuğu ifade edilen iddianamede, hastanenin uğradığı fidye yazılım saldırısı sonrasında kritik servis ve bilgilere erişiminin olmamasının gerekli müdahaleyi yapmayı engellediği belirtildi.
HASTANEDEN ‘HER ŞEY YOLUNDA’ AÇIKLAMASI
The Springhill Medical Center, bebeğin doğumundan bir gün önce saldırıya uğramış fakat yaptığı açıklamada, hastalarına güvenli bir şekilde hizmet vermeye devam ettiğini belirtmişti. Bebeğin doğduğu 17 temmuz 2019 günü hastanenin maruz kaldığı bir fidye yazılım saldırısı nedeniyle sağlık personeli, elektronik cihazları düzgün çalışmaması nedeniyle doğum sonrasında bebeğin sağlık durumunu gerektiği gibi gözlemleme imkanı bulamamasının ölüme yol açtığı iddia ediliyor.
Doğumdan sonra farklı hastanelerde yoğun bakım ünitesinde kalan bebek 9 aylıkken hayatını kaybetmişti. Bebeğin annesi doğuma katılan doktorun ve hastanenin kendisine tazminat ödemesini talep ediyor.
GELİŞME NEDEN ÖNEMLİ?
Bir insanın siber saldırının yol açtığı aksaklıklar nedeniyle ölmesi yerele hukuk ve savaş hukuku açısından olduğu gibi siber savaş kavramını da ilgilendiren tartışmaların önünü açıyor. Fidye yazılım saldırısı düzenleyen siber tehdit aktörleri bugüne kadar, gasp, hırsızlık ve dolandırıcılık gibi suçlamalarla yargı karşısına çıkarıldı.
Sağlık kurumları gibi kritik altyapılara yönelik siber saldırıların ölümle sonuçlanması durumunda saldırının arkasındaki tehdit aktörlerinin cinayet ve cinayete teşebbüs gibi suçlamalarla yargılanması mümkün olabilir.
Benzer şekilde uluslararası bir gerilim sırasında benzer bir saldırının sivil ölümüyle sonuçlanması durumunda devletler arası siber gerilimin, devletler arası bir savaşa dönüşme potansiyeline de sahip olabileceği değerlendirmesi yapılıyor.
Dünyada birçok firmaya darbe vuran şok saldırı Kaseya, son yılların en büyük fidye yazılım saldırısı olarak nitelendiriliyor.
Rusya destekli REvil fidye yazılım çetesi, Kaseya’nın VSA yazılımındaki bir zafiyetten faydalanarak birden fazla yönetilen hizmet sağlayıcısına (MSP) ve onların müşterilerine yönelik bir tedarik zinciri fidye yazılımı saldırısı gerçekleştirdi.
Şu ana kadar fidye talebi rekorunu elinde bulunduran grub bu kez talebi daha da yükselterek 70 milyon dolara çıkardı. REvil daha önce Tayvanlı teknoloji devi Acer’e düzenlediği saldırı sonrası 50 milyon dolar fidye istemişti.
İsveç’te bir market zinciri, Yeni Zelanda’daki okullar ve ABD’de KOBİ’ler saldırının kurbanları arasında yer alıyor.
ABD Başkanı Joe Biden da fidye yazılım saldırısı tehdidini milli güvenlik açısından birinci öncelik seviyesine çıkardı.
KAÇ ŞİRKET ETKİLENDİ?
Geçen hafta sonu Rusya destekli REvil grubunun düzenlediği saldırıdan şu ana kadar Kaseya firmasının da teyit ettiği en fazla 60 müşteri bulunuyor. Ancak dolaylı olarak etkilenen firma sayısı 1500’ü buluyor.
NEDEN BU TARİH SEÇİLDİ?
Siber tehdit aktörleri özellikle ABD’de bağımsızlık bayramı olarak kutlanılan 4 Temmuz Pazar gününün olduğu haftasonu gelmeden cuma günü harekete geçti. Bu periyotta firmalar çalışanlarına izin veriyor ve IT çalışanları da aynı izinden faydalanıyor.
Saldırının bu zaman diliminde gerçekleşmesi firmaları savunması yakalaması açısından daha yıkıcı oldu.
SALDIRI NEDEN FİRMALARI BÜYÜK ÇAPTA ETKİLEDİ?
Tehdit aktörlerinin Kaseya üzerinden bulduğu zafiyet onların binlerce sisteme sızmaları için büyük bir fırsat oldu. Çünkü ABD merkezli teknoloji firması Kaseya birçok firmaya IT yönetim yazılımı hizmeti sunuyor.
Söz konusu networke sızmak isteyen REvil grubu hackerları Kaseya’nın VSA yazılımını hedef aldı. Zafiyetten faydalanarak sisteme erişim sağlayan saldırganlar zararlı yazılımlarını bu yolla binlerce firmaya bulaştırdı ve sistemler kullanılamaz hale geldi.
Kaseya’nın müşterilerine ivedilikle sunucularını kapatma uyarısı ise yeterli olmadı.
SALDIRIDAN KİMLER ETKİLENDİ?
Saldırıdan en az 17 ülkeden birçok kurum ve şirket etkilendi. Etkilenen sektörler arasında finans hizmetleri, turizm firmaları, kamu kuruluşları bulunuyor.
Kaseya CEO’su Fred Voccola, saldırıdan diş klinikleri, mimarlık ofisleri, estetik cerrahi klinikleri ve kütüphaneler gibi küçük çaptaki firmaları etkilediğini açıkladı.
REvil grubu ise 1 milyondan fazla sistem ve networkün saldırıdan etkilendiğini öne sürüyor.
İsveç’ten süpermarket zinciri Coop, kasalarda meydana gelen yazılım probleminden dolayı 800 mağazasının çoğunu kapatmak zorunda kaldı. Ülkede bir eczane zinciri ve demir yolları firması da saldırıdan etkilenen kuruluşlar arasında.
Yeni Zelanda’da ise birçok okul saldırıdan dolayı kapısına kilit vurmak zorunda kaldı. Almanya ve Hollanda’da ise IT firmaları saldırıdan olumsuz etkilendi.
HANGİ ÖNLEMLER ALINMALI?
Öncelikle MSP’lerin Kaseya VSA Tespit Etme Aracını (Kaseya VSA Detection Tool) indirmesi gerekiyor. Söz konusu araç VSA sunucusu veya yönetilen uç noktayı analiz ediyor ve herhangi bir güvenlik ihlali (IoC) göstergesinin mevcut olup olmadığını tespit ediyor.
Şirketin kontrolündeki tüm hesaplarda ve müşteriye yönelik hizmetler için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeleri tavsiye ediliyor.
Firmaların izin verilenler listesi uygulaması veya Uzaktan Görüntüleme ve Yönetim (RMM) arabirimlerini bir VPN ya da ayrılmış bir yönetim ağı üzerindeki bir güvenlik duvarının arkasına yerleştirmesi ise uzmanların önerileri arasında yer alıyor.
ABD’deboru hattı şirketi Colonial Pipeline, bir hafta önce yaşadığı fidye yazılımı saldırısının ardından tüm sistemlerini yeniden faal hale getirirken, saldırının arkasındaki siber suç örgütü DarkSide, polis baskınının ardından altyapısının kontrolünü kaybettiğini iddia etti.
Darkside Leaks blogu, fidye toplama sitesi ve veri ihlali içerik dağıtım ağı (CDN) sunucuları da dahil olmak üzere çete tarafından işletilen tüm darkweb siteleri karardı ve erişilemez duruma geldi. Ayrıca, DarkSide operatörleri tarafından bağlı kuruluşlara gönderilen notta, kripto para cüzdanlarından elde edilen fonların bilinmeyen bir hesaba aktarıldığı iddia edildi.
FİDYE YAZILIMI HİZMETİ RAFA KALKTI
Intel 471 tarafından elde edilen notta şu ifadeler yer aldı: “Şu anda, bu sunuculara SSH üzerinden erişilememektedir ve hosting panelleri engellenmiştir” Söz konusu gelişme, Darkside’ın “Hizmet olarak Fidye Yazılımı” (RaaS) ortaklık projesini rafa kaldırdığı bir zamanda gerçekleşti ve grup, saldırıya uğrayan şirketler için tüm ortaklarına şifre çözücüler göndereceklerini ve tüm ödenmemiş finansal yükümlülükleri 23 Mayıs’a kadar telafi etme sözü vereceklerini söyledi.
Söz konusu saf dışı bırakmalar, Colonial Pipeline efsanesinde sürpriz bir gelişme olarak değerlendirilirken, kamuoyu önünde bu iddiaları doğrulayacak bir kanıt olmaması, bunun bir aldatmaca olabileceğine ya da son yıllarda yasadışı darknet pazarlarını hedef alan hileli bir taktik olduğuna dair endişeleri artırdı. Çetenin dikkat çekmeden faaliyetlerine başka bir şekilde devam ettiğine dair izlenimi veriyor olma ihtimali de göz önünde bulunduruluyor.
Blockchain analiz şirketi Elliptic’e göre, DarkSide fidye yazılımı grubu tarafından kullanılan bitcoin hesabına, 8 Mayıs’ta Colonial Pipeline tarafından 75 BTC (3.2 milyon$) tutarında bir ödeme yapıldı ve ardından 13 Mayıs’ta hesaptan 5 milyon dolar tutarında bitcoin çekildi. 4 Mart’tan bu yana aktif olan hesaba, 21 farklı hesaptan 17.5 milyon dolar tutarında toplam 57 ödeme yapıldı.
Elliptic’in kurucu ortağı Tom Robinson, bitcoinlerin ABD hükümeti tarafından ele geçirildiğine dair spekülasyonlar olduğunu ve eğer durum böyleyse bile Colonial Pipeline’ın fidye ödemesinin çoğunun ele geçirilmediğini bunların büyük kısmının 9 Mayıs’ta bitcoin cüzdanından taşındığını söyledi.
Elliptic, cüzdandaki kripto para çıkışlarını izlemek suretiyle edindiği bilgiye göre, bitcoin’in yüzde 18’inin küçük bir borsa grubuna gönderildiğini ve yüzde 4’ünün Rusya ve Doğu Avrupa’daki müşterilere hizmet veren dünyanın en büyük darknet pazarı Hydra’ya gönderildiğini söyledi. 2020 yılında dünya çapında darknet pazar gelirinin yüzde 75’inden fazlasını Hydra oluşturuyor ve kripto para araştırma firması Chainalysis’e göre Hydra kripto suç liginde önemli bir oyuncu olarak konumlandırılıyor.
FİDYE YAZILIMCILARDAN GERİ ADIM
Darkside’ın operasyonel başarısızlıkları ve Colonial Pipeline saldırısı, XSS ve Exploit gibi yasadışı siber suç forumlarında bir RaaS yasağı dalgasını da harekete geçirdi ve fidye yazılımı ekonomisinde kısa vadeli olarak büyük bir aksamaya neden oldu. Önde gelen fidye yazılımı gruplarından REvil, yazılımının herhangi bir ülkeye ait sağlık, eğitim ve devlet kurumlarına karşı kullanılmasını yasaklayan yeni kısıtlamalar getirdi.
Bu bağlamda değerlendirildiğinde, XSS, Exploit ve Revil’in eylemleri, geçtiğimiz hafta Babuk’un Metropolitan polis Departmanı’na yönelik gerçekleştirdiği eylem de dahil olmak üzere bir dizi yüksek profilli fidye yazılımı saldırısının “dalgalanma etkisi” olarak yorumlanıyor.
