Change Healthcare Perşembe günü yaptığı açıklamada, ALPHV veya Noberus adını da taşıyan Blackcat fidye yazılımı grubunun hacklemeden sorumlu taraf olarak tanımlandığını doğruladı.
Şirket yaptığı açıklamada, “Uzmanlarımız konuyu ele almak için çalışıyor; bu saldırı konusunda kolluk kuvvetleri, önde gelen üçüncü taraf danışmanlar Mandiant ve Palo Alto Network ile yakın işbirliği içinde çalışıyoruz.” dedi. “Üyeler, hastalar ve müşteriler üzerindeki etkiyi anlamak için aktif olarak çalışıyoruz.”
Change Healthcare, eczaneler için reçete işleme hizmetleri sağlıyor ve sistem kapalıyken bazı eczaneler, sigorta şirketlerine verilen reçeteleri işleme koyamıyor. Bu da onların ödeme almalarına olanak tanıyor. Şirket artık “insanların ihtiyaç duydukları ilaçlara ve bakıma erişmesini sağlamak için birden fazla geçici çözüme” sahip olduğunu söylüyor.
Blackcat kolluk kuvvetleri yetkililerine yabancı bir isim değil. Adalet Bakanlığı geçen Aralık ayında gruptan bahsetmiş ve yetkililerin gruba karşı bir aksaklık kampanyası başlattığını duyurmuştu. FBI’ın devam eden bir soruşturma kapsamında “Blackcat fidye yazılımı grubunun bilgisayar ağına görünürlük kazandırdığı” ve grubun işlettiği birçok web sitesine el koyduğu belirtildi.
Son iki yılda Blackcat, kurbanlardan yüz milyonlarca dolar alarak dünyanın en üretken ikinci hizmet olarak fidye yazılımı (RaaS) kuruluşu haline geldi. Dünyanın çeşitli ülkelerinden çok sayıda emniyet teşkilatı grup hakkında paralel soruşturmalar yürütüyor.
Adalet Bakanlığı, konuyla ilgili “Fidye yazılımı varyantının neden olduğu kesintiler, devlet tesisleri, acil durum hizmetleri, savunma sanayii bazlı şirketler, kritik üretim ve sağlık ve kamu sağlığı tesisleri dahil olmak üzere ABD’nin kritik altyapısını ve ayrıca diğer şirketleri, devlet kurumlarını ve okulları etkiledi.“ dedi.
RaaS son dört yıldır hackerlar arasında popüler hale gelen bir model. Aracılar, şirketlere yönelik istismar kitleri veya arka kapılar satar veya kiralar; bu da onların kullanıcı bilgilerine erişmesine, kötü amaçlı yazılım yüklemesine ve sistem kaynaklarının kontrolünü üstlenmesine olanak tanır. Bu komisyoncular erişimi binlerce dolara satıyor ve fidye yazılımı saldırganları kurbanlardan bunun kat kat fazlasını talep edebiliyor.
Change Healthcare başlangıçta Menkul Kıymetler ve Borsa Komisyonu’na (SEC) saldırının arkasında ulus devletle bağlantılı kötü bir aktörün olabileceğinden şüphelendiğini söylemişti. Ancak Blackcat’in kar amacı güden bir operasyon olduğu söyleniyor. UnitedHealth’in başka bir hükümetin müdahalesini göz ardı edip etmediği şu anda bilinmiyor. (Blackcat, şimdi silinmiş olan bir sosyal medya gönderisinde bunu yalanladı, ancak bir bilgisayar korsanlığı grubunun dürüstlüğü genel olarak sorgulanabilir.)
Birçok fidye yazılımı şirketi gibi Blackcat de saldırılarında birden fazla gasp biçimi kullanıyor. Erişim sağladıktan sonra hassas verileri alır, sistemi şifreler ve kurduğu kilitleri geri almak için fidye talep eder ve elde ettiği (genellikle hassas) bilgileri yayınlamamayı kabul eder.
Şirketin ödeme yapmaması durumunda bilgiler genellikle Dark Web’de veya sızıntı yapan bir web sitesinde yayınlanır.
Change Healthcare’in sistemleri 10 gündür çevrimdışı. Şirket, ne zaman geri dönmelerini beklediklerine dair bir sinyal vermedi.
Şirket, “Etkilenen ortamı onarmak için çeşitli yaklaşımlar üzerinde çalışıyoruz ve tüm sistemlerimizde proaktif ve agresif olmaya devam ediyoruz.” dedi. “Sistemde herhangi bir sorun olduğundan şüphelenirsek hemen harekete geçeceğiz.“
