Bazılarının REvil’in yeniden başlatılması olduğuna inandığı ve diğerlerinin BlogXX’in Avustralya sağlık sigortası sağlayıcısı Medibank Private Limited’e yönelik geçen ayki fidye yazılımı saldırısının sorumluluğunu üstlendiği için takip ettiği bir fidye yazılımı çetesi.
Medibank, Avustralya’nın en büyük özel sağlık sigorta şirketlerinden biridir ve 3,9 milyonu aşkın kişiyi kapsamakta ve 4.000 çalışanı bulunmaktadır.
Şimdiye kadar, Medibank’a yönelik saldırı henüz belirli bir fidye yazılımı grubuna atfedilmemiş olsa da, şirket, ağında gözlemlenen kötü amaçlı etkinliğin doğrulandığını doğruladı. fidye yazılımı etkinliğiyle eşleşir.
Fidye yazılımı çetesi, bugün veri sızıntısı web sitesine eklenen yeni bir girişte, Medibank’ın sistemlerinden çalındığı iddia edilen verileri 24 saat içinde sızdıracağı tehdidinde bulundu.
Çete, Medibank’ın ağından ne kadar veri sızdırdığını henüz açıklamadı ve bu iddiaları doğrulamak için herhangi bir kanıt paylaşmadı.
BleepingComputer bugün erken saatlerde fidye yazılımı çetesinin iddialarını doğrulamak için iletişime geçtiğinde bir Medibank sözcüsü yorum yapmak için müsait değildi.
Bir REvil yeniden lansmanı mı?
Orijinal REvil fidye yazılımı çetesi kapatıldı Ekim 2021’de Tor sunucuları ele geçirildikten sonra, bildirildiğine göre kolluk kuvvetleri tarafından, ardından Rusya çete üyelerinden bazılarının tutuklanması.
Ancak, Nisan 2022’de operasyonun orijinal Tor web siteleri gizemli bir şekilde yeniden yönlendirmeye başladı ‘BlogXX’ işlemi için yeni web sitelerinin ziyaretçileri. Mağdurlarla yapılan özel görüşmelerde, bu tehdit aktörleri kendilerine daha önce orijinal REvil operasyonu tarafından kullanılan bir isim olan Sodinokibi diyorlar.
Ayrıca, güvenlik araştırmacıları yeni operasyonun şifreleyicisinin REvil’in şifreleyicisinin kaynak koduna dayalı.
Web sitesi yönlendirmeleri ve kod benzerlikleri nedeniyle, yeni operasyonun bazıları, geliştiriciler veya diğer üyeler tarafından REvil operasyonunun yeniden başlatılması olarak değerlendiriliyor.
Ancak güvenlik araştırmacısı Kötü Amaçlı Yazılım AvcısıTakımı bu grubun, REvil ile bağlantılı yeni bir operasyon olan BlogXX olduğuna inanıyor.
Medibank fidyeyi ödemeyi reddetti
Medibank, bu saldırının arkasında hangi hack grubunun olduğunu henüz doğrulamasa da şirket bugün yayınladığı bir basın açıklamasında saldırganların fidye talebini reddettiğini söyledi.
Medibank, “Bugün, bu veri hırsızlığından sorumlu olan suçluya fidye ödemesi yapılmayacağını duyurduk.” Dedi.
“Siber suç uzmanlarından aldığımız kapsamlı tavsiyelere dayanarak, fidye ödemenin yalnızca sınırlı bir şansı olduğuna inanıyoruz, müşterilerimizin verilerinin iade edilmesini ve yayınlanmasını engelleyebileceğini düşünüyoruz.”
Sağlık sigortası, saldırganlara ödeme yapmanın onları veri ihlalinden etkilenen müşterilerin peşine düşmeye motive edeceğini de sözlerine ekledi.
Ayrıca, bir fidye ödemesi, başkalarını Avustralya kuruluşlarına saldırmaya teşvik edecek ve daha fazla insanı riske atacaktır.
Şirket, “Avustralya’yı daha büyük bir hedef haline getirerek, ödemenin daha fazla insanı tehlikeye atması için güçlü bir şans var” diye ekledi. “Bu karar Avustralya Hükümeti’nin tutumuyla tutarlıdır.”
Saldırganlar milyonlarca müşterinin verilerine erişti
Başlangıçta sigortacı, herhangi bir müşteri bilgisine erişildiğine veya çalındığına dair hiçbir kanıt bulunmadığını söyledi. Şirket daha sonra bilgisayar korsanlarının müşterilerinin bazı verilerine erişti.
Bugün, fidye yazılımı çetesi, iddialarını desteklemek için çalındığı iddia edilen verileri sızdırmaya başlamadan ve Medibank’ı bir anlaşma müzakere etmeye zorlamadan önce, şirket, saldırganların milyonlarca müşteriye ait hassas bilgilere erişim kazandığını ortaya çıkardı.
Medibank’ın ihlalde açığa çıktığına inandığı verilerin tam listesi şunları içeriyor:
- Yaklaşık 9,7 milyon mevcut ve eski müşteri ve yetkili temsilcinin adı, doğum tarihi, adresi, telefon numarası ve e-posta adresi
- ahm sağlık sigortası (ahm) müşterileri için Medicare numaraları (ancak son kullanma tarihleri değil)
- Uluslararası öğrenci müşterileri için pasaport numaraları (ancak son kullanma tarihleri değil) ve vize detayları
- Yaklaşık 480.000 Medibank, ahm ve uluslararası müşteri için sağlık beyanı verileri
- Adlar, sağlayıcı numaraları ve adresler dahil olmak üzere sağlık sağlayıcı ayrıntıları
Medibank, Ekim saldırısının arkasındaki siber suçluların finansal bilgilere (kredi kartı ve banka bilgileri), birincil kimlik belgelerine (örn. optik ve psikoloji).
Medibank, “Bu suçun niteliği göz önüne alındığında, ne yazık ki artık erişilen tüm müşteri verilerinin suçlu tarafından alınmış olabileceğine inanıyoruz.” katma.
Suçlu, müşteri verilerini çevrimiçi olarak yayınlayabileceğinden veya müşterilerle doğrudan iletişim kurmaya çalışabileceğinden, müşteriler dikkatli olmalıdır.”
H/T AlvieriD