inc ransomware grubu okyanusya'da sağlık sektörünü rehin almış

arkadaşlar, inc ransomware denen manyaklar avustralya, yeni zelanda ve tonga’daki sağlık kurumlarına saldırı düzenlemiş. devlet kurumları, acil servisler, hastaneler falan hepsi hedef olmuş. bu grubun işi gücü sağlık sektörünü vurmak galiba, ciddi bir durum var ortada.

olay ne tam olarak

inc ransomware grubu, okyanusya bölgesindeki sağlık tesislerine arka arkaya saldırılar düzenlemiş. avustralya ve yeni zelanda gibi gelişmiş ülkelerden tutun da tonga gibi küçük ada devletlerine kadar uzanan bir saldırı dalgası var. spoiler: sağlık sektörü zaten hassas, bir de ransomware yiyince sistem tam anlamıyla felç oluyor.

bu grup özellikle kritik altyapıları hedef alıyor. acil servisler, hastane sistemleri, hasta kayıtları… hepsi şifrelenmiş durumda ve fidye isteniyormuş.

neden bu kadar tehlikeli

sağlık sektörüne yapılan ransomware saldırıları diğerlerinden daha kritik çünkü:

• hasta kayıtlarına erişim kesilince tedavi aksıyor
• acil servislerde sistemler çökünce hayati riskler oluşuyor
• tıbbi cihazlar ve sistemler offline kalıyor
• hasta mahremiyeti tehlikeye giriyor
• kurumlar fidye ödemeye daha meyilli oluyor (can pazarı var çünkü)

inc ransomware kimdir bunlar

inc ransomware grubu, özellikle sağlık sektörünü hedef alan bir çete. “prolific” diyorlar bunlara, yani oldukça üretkenler maalesef. klasik ransomware-as-a-service (raas) modeli ile çalışıyorlar muhtemelen. yani:

1. sistemlere sızıyorlar (genelde phishing, zayıf şifreler, yamamsız sistemler)
2. ağda yayılıyorlar (lateral movement denen olay)
3. kritik verileri çalıyorlar (double extortion için)
4. her şeyi şifreliyorlar
5. hem fidye istiyorlar hem de “ödemazseniz verilerinizi sızdırırız” diye tehdit ediyorlar

edit: bu grup özellikle sağlık sektörünü seçmiş çünkü ödeme alma olasılığı yüksek. etik falan yok bunlarda.

etkilenen bölge ve kurumlar

sağlık sektöründeki sistem yöneticileri ne yapmalı

arkadaşlar eğer sağlık sektöründe çalışıyorsanız, şu önlemleri acilen alın:

1. yedekleme stratejisi (hayati önem taşıyor)

# offline yedekler alın, 3-2-1 kuralı: 
# 3 kopya, 2 farklı ortam, 1 tanesi offsite

# kritik sistemlerin yedeğini günlük alın
# yedekleri ağdan izole edin (immutable backup)
# düzenli restore testleri yapın

dikkat: yedekleriniz ağa bağlıysa, ransomware onları da şifreler. offline/air-gapped yedek şart.

2. ağ segmentasyonu

# kritik tıbbi cihazları ayrı vlan'a alın
# hasta kayıt sistemlerini izole edin
# acil servis sistemlerini ayrı segmente koyun

# örnek firewall kuralı (pfsense/iptables)
# sadece gerekli portları açık tutun
iptables -A INPUT -p tcp --dport 22 -s YONETIM_AGLARI -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

3. erişim kontrolü

• mfa (çok faktörlü kimlik doğrulama) her yerde aktif olsun
• privileged access management (pam) kullanın
• least privilege prensibi: herkes sadece işine yarayacak kadar yetki alsın
• rdp’yi internete açmayın (vpn arkasına alın)

# rdp portunu değiştirin (security by obscurity değil ama yine de)
# ve mutlaka vpn arkasına alın

# ssh için key-based authentication
ssh-keygen -t ed25519 -C "hastane-sunucu"
# password authentication'ı kapatın

4. güvenlik güncellemeleri

# sistemleri güncel tutun
# windows server'lar için
Get-WindowsUpdate -Install -AcceptAll

# linux sistemler için (debian/ubuntu)
apt update && apt upgrade -y

# yamalar için test ortamı kullanın
# ama kritik güvenlik yamaları için beklemeyin fazla

5. monitoring ve detection

# log'ları merkezi bir yere toplayın (siem)
# anormal aktiviteleri izleyin

# örnek: başarısız login denemelerini izleyin
tail -f /var/log/auth.log | grep "Failed password"

# şüpheli dosya şifreleme aktivitelerini tespit edin
# edr (endpoint detection and response) çözümü kullanın

6. incident response planı

• ransomware saldırısı senaryosu için plan hazırlayın
• kimlere ne zaman haber verileceğini belirleyin
• kritik sistemlerin recovery sürelerini bilin (rto/rpo)
• düzenli tatbikat yapın

spoiler: plan olmazsa panik olur, panik olunca yanlış kararlar alınır.

saldırıya uğradıysanız yapmanız gerekenler

1. hemen izole edin: etkilenen sistemleri ağdan ayırın (kablo çekin bile gerekirse)
2. yetkililerle iletişim: siber güvenlik kurumlarını bilgilendirin
3. fidye ödemeyin: ödemek garantisi yok, hem de suç örgütlerini fonluyorsunuz
4. forensic analiz: nasıl girildiğini tespit edin
5. yedeklerden dönün: offline yedekleriniz varsa onlardan restore edin

# etkilenen sunucuyu izole edin
ifconfig eth0 down

# veya
ip link set eth0 down

# forensic için disk imajı alın
dd if=/dev/sda of=/mnt/external/disk-image.dd bs=4M status=progress

genel tavsiyeler

agalar, sağlık sektörü artık siber saldırganların birinci hedefi. bunun birkaç sebebi var:

• kritik veri var (hasta bilgileri, tıbbi kayıtlar)
• downtime tolere edilemiyor (acil servis duramaz)
• fidye ödeme olasılığı yüksek
• güvenlik altyapısı genelde zayıf (eski sistemler, bütçe kısıtları)

edit: hipaa compliance’ı da var, veri sızarsa hem fidye hem de regülasyon cezası yiyorsunuz.

sağlık sektörüne özel güvenlik tavsiyeleri

• eski tıbbi cihazları izole edin: windows xp çalıştıran mri cihazını internete açmayın
• vendor desteği: tıbbi cihaz üreticileriyle güvenlik konusunda konuşun
• personel eğitimi: phishing saldırılarına karşı düzenli eğitim verin
• hasta verisi şifreleme: gdpr/kvkk/hipaa compliance için data-at-rest encryption
• network access control (nac): sadece bilinen cihazlar ağa bağlanabilsin

kaynaklar

• Dark Reading - INC Ransomware Group Holds Healthcare Hostage in Oceania
• CISA - Ransomware Guide
• NIST Cybersecurity Framework

arkadaşlar, ransomware saldırıları giderek artıyor ve sağlık sektörü en hassas hedeflerden biri. yedek almadan, güvenlik önlemi almadan “bize bir şey olmaz” demeyin. inc grubu gibi çeteler profesyonelleşmiş durumda, sizin de profesyonelce hazırlanmanız lazım.

önce test ortamında deneyin, yedek alın, sonra production’a geçin. sonra ağlarsınız demeyin.

sağlıcakla kalın, sistemleriniz de sağlıcakla kalsın.

Bu içerik yapay zeka tarafından oluşturulmuştur.