Jonathan Greig är en journalist baserad i New York City.
Fullständig bio den 15 december 2021 | Ämne: Ransomware
Oregon Anesthesiology Group (OAG) sa att den drabbades av en ransomware-attack i juli som ledde till brott mot känslig information om anställda och patienter.
Intrånget omfattar information från 750 000 patienter och 522 nuvarande och tidigare OAG-anställda.
I ett uttalande sa företaget att det kontaktades av FBI den 21 oktober. FBI förklarade att det beslagtog ett konto som innehöll OAG-patient- och personalfiler från HelloKitty, en ukrainsk ransomware-grupp.
FBI sa att de tror att gruppen utnyttjade en sårbarhet i OAG:s tredje parts brandvägg, vilket gjorde det möjligt för hackare att komma in i nätverket.
“Patientinformation som potentiellt var involverad i denna incident inkluderade namn, adresser, servicedatum, diagnos- och procedurkoder med beskrivningar, journalnummer, försäkringsleverantörers namn och försäkrings-ID-nummer,” förklarade OAG.
“De cyberbrottslingar kunde också ha tillgång till nuvarande och tidigare OAG-anställda data, inklusive namn, adresser, personnummer och annan information från W-2-formulär som finns i fil.”
Attacken den 11 juli låste OAG ute från sina servrar och tvingade dem att återställa sina system från säkerhetskopior utanför platsen och bygga om sin IT-infrastruktur från grunden. Externa cybersäkerhetsexperter anlitades för att hjälpa till med utredningen av attacken.
“Enligt den cyberkriminaltekniska rapporten som OAG fick i slutet av november kunde cyberbrottslingarna, när de väl kommit in, att minera administratörens autentiseringsuppgifter och komma åt OAG:s krypterade data”, sa OAG.
Företaget har sedan dess ersatt sin tredjepartsbrandvägg och utökat användningen av multifaktorautentisering. Offer för incidenten får 12 månaders Experians identitetsskyddstjänster och kreditövervakning.
OAG tillade att offer borde vara på jakt efter bedrägerier och uppmanade dem att registrera sig i Experians IdentityWorks-program, som kommer med upp till 1 miljon USD i identitetsstöldförsäkring.
De vars personnummer har läckt uppmanas att skapa ett mySocial Security-konto hos Social Security Administration, vilket gör att de kan göra anspråk på sitt SSN, enligt OAG.
ZDNet har tidigare rapporterat att HelloKitty ransomware har varit aktiv sedan åtminstone 2020 och mest riktar sig mot Windows-system, med vissa varianter som används mot Linux-system.
Det har funnits ett antal HelloKitty-spinoffs, inklusive en ny namnlös ransomware-variant och Vice Society.
FBI skickade ut en varning om gruppen i oktober och noterade att gruppen var bli känd för att aggressivt pressa sina offer med dubbel utpressningsteknik.
“I vissa fall, om offret inte svarar snabbt eller inte betalar lösensumman, kommer hotaktörerna att inleda en DDoS-attack (Distributed Denial of Service) på offrets företags offentliga webbplats”, sa FBI. “Hello Kitty/FiveHands-skådespelare kräver olika lösensummabetalningar i Bitcoin (BTC) som ser ut att vara skräddarsydda för varje offer, i proportion till deras bedömda förmåga att betala det. Om ingen lösen betalas kommer hotaktörerna att lägga ut offerdata till Babuk-webbplatsen (nyttolast). .bin) eller sälj den till en datamäklare från tredje part.”
FBI tillade att gruppen vanligtvis använder komprometterade referenser eller kända sårbarheter i SonicWall-produkter och när de väl är inne i nätverket kommer de att använda allmänt tillgänglig penetration verktygssviter som Cobalt Strike, Mandiant's Commando eller PowerShell Empire förladdade med allmänt tillgängliga verktyg som Bloodhound och Mimikatz för att kartlägga nätverket och eskalera privilegier före exfiltrering och kryptering.
I februari var gruppen inblandad i en rubrik-gripande ransomware-attack på den polska spelutvecklaren CD Projekt Red, tillverkaren av populära spel som Cyberpunk 2077 och The Witcher-serien.
Säkerhet
Log4j zero-day-fel: Vad du behöver veta och hur du skyddar dig själv Alla är utbrända. Det håller på att bli en säkerhetsmardröm De bästa VPN:erna för små och hembaserade företag 2021. Chefer är ovilliga att spendera pengar på cybersäkerhet. Då blir de hackade Hit av ransomware? Gör inte detta första uppenbara misstag Säkerhet