FBI uyardı: Hive Saldırısı sağlık sistemlerini hedef alıyor

Nispeten yeni sayılabilecek olan Hive ransomware saldırısı ilk kez Haziran 2021’de açığa çıkarılmıştı.

Memorial Sağlık Sistemine Yönelik Fidye Saldırısı

Memorial Sağlık Sistemi Acil Departmanı saldırıyı ilk kez yalnızca felç ve travma yaşayan hastalara yönelik hazırlanan bilgi sistemlerinde yaşanan bozulmalarla fark etmişti. Bununla birlikte Marietta Memorial, Selby ve Sistersville Hastanesi çalışanları sistemlerinde yaşanan aksamalardan ötürü yenileme çalışmaları yapılırken mecburi olarak eski usul baskı üzerinden işlem yapmak zorunda kalmışlardı.

FBI, hedef alınan sağlık sistemlerine erişilmesinde saldırganların oltalama (phishing) yöntemini kullandığını iddia etmekte. Saldırı en az 28 farklı organizasyonu hedef alırken, çoğu kurbanı ise sağlık sektöründen.

Bilindiği kadarıyla, sistemi ve yedeklemeleri hedef alarak ele geçiren grup daha sonrasında kurbanlarına kendileriyle canlı sohbete geçebilecekleri bir bağlantı sağlayarak ödeme istemekte.

İki ile altı gün arasında bir süre tanınan kurbanlara, duruma göre bu süreyi uzatabilme hakkı tanınmakta.

FBI bazı kurbanların ise doğrudan saldırganlar tarafından aranarak ödeme yapmaya zorlandığını söylemekte. Saldırganların sistem içerisinde lateral ilerleme sağlamak amacıyla RDP (Remote Desktop Protocol – Uzaktan Masaüstü Protokolü) kullanmakta.

Bir sisteme giriş sağlamalarının ardından saldırganlar gerekli gördükleri bilgileri ele geçirmekte ve şifrelemekte. Şifrelenen dosyaların uzantısı değiştirilerek .hive yapılmakta. Daha sonrasında ise yedekleme ve ilişkin anti-virus/spyware, dosya kopyalama süreçleri saptanarak saldırının bekası için bu süreçler de imha edilmekte. Saldırının erişebildiği tüm dosyalara fidye notu bırakılarak şifreyi kırabilecek özel yazılıma nasıl erişim sağlanabileceğini açıklayan bir süreç anlatılmakta.

Hive Saldırısına Karşı Korunma Yöntemleri

FBI ise konuyla ilgili olarak kritik bilgilerin çevrimdışı olarak ve bulut sistemi içerisinde yedeklenmesinin önemini vurgularken aynı zamanda iki adımlı doğrulamanın da önemine dikkat çekti. Uzaktan erişim sistemleri dahil olmak üzere mümkün olan her yerde güçlü şifreler ve iki adımlı doğrulama kullanılmasını, aynı zamanda olası bir fidye saldırısına daima hazırda bulunulması gerektiğini ve bir yanıtlama planı bulunması gerektiğini ifade etti.

Ransomware saldırıları ya da fidye saldırıları, genellikle phishing (oltalama) tekniği kullanılarak zararlı yazılım yüklü mail veya zararlı yazılıma yönlendiren bağlantı üzerinden saldırılmak istenilen sisteme erişilmesinin ardından değerli görülen veya tüm verilerin şifrelenmesiyle gerçekleştirilmektedir. Saldırgan kişi ya da grup, bu verileri belirli bir süre içerisinde istenilen ücretin ödenmemesi halinde umuma açmakla veya silmekle hedef organizasyonu/kişiyi tehdit edebilir.

2012’den bu yana sıklıkla kullanılan ransomware saldırı tekniği 2018 yılının ilk yarısında toplam 181.5 milyon saldırı ile bir yıl içerisinde %229 artış göstermiş ve günümüze kadar da büyüyerek devam etmiştir. Özellikle Covid-19 Pandemisi nedeniyle neredeyse tüm işleyişin siber uzay üzerinden gerçekleştirilmeye başlanmasının, ransomware saldırganlarının iştahını kabarttığını söylemek mümkündür. Sıklıkla hastane vb. sağlık sistemlerine yönelik yapılan saldırılarla adını duyduğumuz teknik, aynı zamanda siber güvenliğe dair cehaleti ve hazırlıksızlığı kullanmasından ötürü ilerleyen dönemde de önemli bir saldırı ve illegal kazanç aracı olarak yerini koruyacağa benziyor.

Fatih Başar Kutlu

Lisans: Uludağ Üniversitesi – Uluslararası İlişkiler

Msc: Universita degli Studi di Milano – International Politics and Regional Dynamics

Thesis: Cybersecurity Approaches: EU and NATO