Fidye yazılımları, COVID-19 mart ayında tüm dünyaya yayılırken, yeniden göz önüne geldiler. Birden fazla fidye yazılımı operatörü pandemi sırasında hastaneler gibi kritik sağlık tesislerini hedeflemeyeceklerini duyurmuştu. Fidye yazılımı çetesi Maze de kamuoyuna benzer bir söz vermişti. 18 Mart tarihli bir basın açıklamasında “Virüsle mücadelenin istikrara kavuşmasına kadar her türlü tıbbi organizasyona karşı tüm faaliyetleri durduruyoruz” denildi. Çetenin tıbbi kuruluşlara saldırmama sözü veren ilk açıklamalarından kısa bir süre sonra, Londra merkezli bir sağlık kuruluşu Hammersmith Medicines Research’ün verileri, şirketi günler önce hedef alan Maze casusları tarafından sızdırıldı. Siber korsanlar, fidye ödemeyi reddeden iki farklı plastik cerrahın da verilerini mayıs ayında yayınladılar.
Mandiant kıdemli başkan yardımcısı ve stratejik hizmetler CTO’su Charles Carmakal, koronavirüs salgını sırasında fidye yazılımları tarafından hedef alınan sağlık kuruluşlarının çoğunun hastaneler olmadığını, ancak bazı hastanelerin hedef alındığını söyledi.
“Hastaneleri aktif olarak hedef almaya gelince, bu çoğu tehdit aktörünün geçmemeyi tercih ettiği bir çizgi. Çoğu insan, çoğu suçlu insanlara zarar vermek istemiyor – bu süreçte insanları öldürmek istemiyorlar. Tehdit aktörleri ve grupları, özellikle COVID’in ilk günlerinde hastaneleri hedef almayacaklarını açık bir şekilde belirttiler. Bununla birlikte, fidye ödemeleri için milyonlarca dolar haraç taleplerinde bulunmaya çalışmak için ABD merkezli hastane kuruluşlarını aktif olarak hedefleyen birkaç tehdit aktörü de tanıyoruz.”
Carmakal, insanlar “sağlık hizmeti” kuruluşlarının fidye yazılımları tarafından vurulduğundan bahsettiğinde bunun yalnızca hastaneleri kapsamadığını vurguluyor. Sağlık kuruluşları arasıdna hastanelerin yanı sıra biyoteknoloji şirketleri, ilaç şirketleri, tıbbi teknoloji şirketleri ve iş süreci çözümleri sağlayan şirketler de yer alıyor.
Check Point tarafından gerçekleştirilen güncel bir araştırma, küresel olarak sağlık kuruluşlarına gerçekleştirilen fidye yazılımı saldırılarının, 2020’nin ikinci çeyreğinde kuruluşların %2,3’ünden üçüncü çeyrekte %4’e, yani neredeyse iki katına çıktığını gösterdi. Ek olarak, fidye yazılımları tarafından hedeflenen bir numaralı sektör ABD sağlık hizmetleri olarak açıklandı.
Hastaneleri hedef almanın tehlikeleri
Hastaneler bu saldırıların bir kısmını temsil etse de, Sophos kıdemli güvenlik danışmanı John Shier, hastanelerin “benzersiz bir şekilde etkilendiğini, çünkü üretimde veya işletmede olduğu gibi kaybedilenin sadece dolar olmadığını, hayatların potansiyel olarak tehlikede olduğunu” belirtti.
Bu risk, geçen ay Almanya’da, BT sistemlerini kapatan bir fidye yazılımı saldırısına uğramış olan Düsseldorf Üniversite Hastanesi’nden yönlendirilmek zorunda kalan 78 yaşındaki bir kadının yaşadığı olayda ortaya çıktı. Kadın, daha sonra öldüğü açıklandığı komşu bir şehirde başka bir hastaneye götürülmek zorunda kaldı ve bunun sonucunda Alman yetkililer ihmalkarlık bağlantılı bir cinayet soruşturması başlattı.
Düsseldorf Üniversite Hastanesi, yıkıcı fidye yazılımı saldırısı nedeniyle “acil bakım kayıtlarının kaldırıldığını” açıkladı. Hastaneden yapılan açıklamada, “Bilgisayar sistemindeki faaliyetler pek çok süreç için gerekli olduğundan, bunun hastane operasyonları açısından geniş kapsamlı sonuçları vardır.” denildi.
Shier, fidye yazılımı saldırılarının hastanelerin nasıl farklı şekilde çalışmasına neden olduğunu açıkladı: “Hastaneleri veya en azından belirli hastaneleri, alışkın olduklarından çok daha farklı bir şekilde çalışmaya zorluyor ve onları, bazı durumlarda kaos ve kargaşaya neden olacak noktaya kadar çok hızlı bir şekilde sürüklüypr. Bazı hastaneler, örneğin acil servise temel hasta alımını yapmak için elektronik sistemlere bağımlıdır ya da sadece hastanın tıbbi kayıtlarına bakmak için. Bunlara erişiminiz yoksa, tüm hasta kabul ve tedavi süreci yavaşlayabilir.”
Hastaneler ayrıca, kısmen içlerinde bulunan hem eski hem de yeni donanım ve yazılım gibi geniş teknoloji yelpazesi nedeniyle daha büyük siber güvenlik riskleriyle karşı karşıya.
Siber saldırılar, hastanelerin en azından kısmen daha fazla kağıt tabanlı kayıt tutma yöntemine geçmesine neden oldu. Carmakal, bilgisayar sistemleri çöktüğünde ve hastanelerin kağıda geçmesi gerektiğinde, bilinen alerjiler ve ilaç listeleri gibi bilgilerin çok daha az anında erişilebilir hale gelebileceğini belirtiyor.
Fidye yazılımları hastaneleri nasıl bozguna uğratıyor?
Carmakal, hastanelerin fidye yazılımı tarafından saldırıya uğradığı tipik sürecin birden çok adımı izlediğini belirtiyor. Başlangıçta, tehdit aktörü kuruluşa girmenin bir yolunu bulur ve bu genellikle e-posta tabanlı kimlik avı yoluyla veya internete bağlı altyapıdaki güvenlik açıkları yoluyla gerçekleştirilir. Bunu yaptıktan sonra bir arka kapı oluşturur ve kullanıcının bilgisayarına kötü amaçlı yazılım yükler. COVID-19, iş ve kişisel bilgisayar kullanımının evden çalışılan bu dönemde daha fazla karışmasına neden olabileceğinden, siber korsanların kurumsal verileri çalması kolaylaşıyor.
İkincisi, tehdit aktörü yedekleme sistemlerine, etki alanı denetleyicileri ve Windows ortamları gibi kritik sistemlere ve ayrıca diğer sistemlere ve sunuculara erişebilmeleri için ortama yeterince geniş ve yeterince yüksek erişime sahip olana kadar ayrıcalıkları artırmaya ve yanlamasına hareket etmeye çalışır.
Son olarak, tehdit aktörü, erişebildiği her sistemi, genellikle BT personelinin genellikle daha pasif olduğu zamanlar (hafta sonu gibi) şifreler.
Haziran 2017’deki NotPetya siber saldırıları sırasında, Pennsylvania’daki Heritage Valley Sağlık Sistemi hastaneleri, bağlı bir kuruluşun sağlık sistemi ağının dışından bulaşması sonucu ağ içi bir bilgisayarın fidye yazılımına maruz kaldı. Olayla ilgili oluşturulan iddianemede, siber korsanların Heritage Valley hastalarının kimlik bilgilerini çalmak amacıyla hastanedeki tek bir bilgisayara ulaştığını ve ardından ağdaki diğer makinelerdeki verileri şifreleyebildikleri belirtildi.
Sabit disklerin ve iş istasyonlarının kilitlenmesine ek olarak, sağlık hizmeti sağlayıcıları hasta listelerine, hasta tıbbi kayıtlarına, önceki laboratuvar kayıtlarına ve bir dizi görev açısından kritik bilgisayar sistemine (iddianame notları, kardiyoloji, nükleer tıp, radyoloji ve cerrahi) haftalar ve aylar arasında değişen zamanlarda ulaşılamadı.
Acil bakımı sınırlandırmanın veya tamamen kesintiye uğratmanın ani etkilerinin ötesinde, hastanelere yapılan fidye yazılımı saldırılarının kalıcı sonuçları olabilir. 12 Ekim tarihli bir açıklamada, Düsseldorf Üniversite Hastanesi, 10 Eylül’de bir aydan fazla bir süre önce uğradığı fidye yazılımı saldırısının ardından nihayet normal hasta numaralarına geri dönülebildiğini açıkladı. Hastanenin acil bakım ünitesini açması ve acil hastaları yeniden kabul etmesi için 23 Eylül’e kadar beklemesi gerekti.
