Community Health Systems (CHS) mengatakan hal itu dipengaruhi oleh gelombang serangan baru-baru ini yang menargetkan kerentanan zero-day di platform transfer file aman MFT GoAnywhere Fortra.
Raksasa penyedia layanan kesehatan mengatakan pada hari Senin bahwa Fortra mengeluarkan peringatan yang mengatakan bahwa ia telah “mengalami insiden keamanan” yang menyebabkan beberapa data CHS disusupi.
Investigasi selanjutnya mengungkapkan bahwa pelanggaran data yang dihasilkan memengaruhi informasi pribadi dan kesehatan hingga 1 juta pasien.
“Sementara penyelidikan itu masih berlangsung, Perusahaan percaya bahwa pelanggaran Fortra tidak berdampak pada sistem informasi Perusahaan mana pun dan bahwa tidak ada gangguan material terhadap operasi bisnis Perusahaan, termasuk pengiriman perawatan pasien,” kata CHS pengajuan 8-K dengan SEC pertama kali ditemukan oleh DataBreaches.net.
“Sehubungan dengan PHI dan PI yang dikompromikan oleh pelanggaran Fortra, Perusahaan saat ini memperkirakan sekitar satu juta orang mungkin terkena dampak serangan ini.”
Ia juga menambahkan bahwa ia akan menawarkan layanan perlindungan pencurian identitas dan memberi tahu semua individu yang terkena dampak yang informasinya terungkap dalam pelanggaran tersebut.
CHS adalah penyedia layanan kesehatan terkemuka yang mengoperasikan 79 rumah sakit perawatan akut yang berafiliasi dan lebih dari 1.000 tempat perawatan lainnya di seluruh Amerika Serikat.
Clop geng mengklaim telah melanggar 130 klien Fortra
Geng ransomware Clop mengklaim berada di balik serangan ini dan memberi tahu BleepingComputer bahwa mereka telah melanggar dan mencuri data dari lebih dari 130 organisasi.
Clop juga mengatakan mereka diduga mencuri data selama sepuluh hari setelah melanggar server MFT GoAnywhere yang rentan terhadap eksploitasi yang menargetkan bug CVE-2023-0669 RCE.
Geng tersebut tidak memberikan bukti atau detail tambahan terkait klaim mereka saat BleepingComputer menanyakan kapan serangan dimulai, apakah mereka sudah mulai memeras korban, dan uang tebusan apa yang mereka minta.
BleepingComputer tidak dapat secara independen mengonfirmasi klaim Clop, dan Fortra belum membalas beberapa email yang meminta info lebih lanjut mengenai eksploitasi CVE-2023-0669 dan tuduhan grup ransomware.
Namun, Manajer Intelijen Ancaman Huntress Joe Slowik juga ditemukan hubungan antara serangan MFT GoAnywhere dan TA505grup ancaman yang dikenal menyebarkan ransomware Clop di masa lalu.
Clop diketahui menggunakan taktik serupa pada Desember 2020, ketika mereka menemukan dan mengeksploitasi bug zero-day di File Transfer Appliance (FTA) warisan Accellion untuk mencuri data dalam jumlah besar dari sekitar 100 perusahaan di seluruh dunia.
Pada saat itu, para korban menerima email yang menuntut uang tebusan $10 juta agar data mereka tidak dipublikasikan di situs kebocoran data kelompok kejahatan dunia maya.
Organisasi yang server Accellionnya diretas termasuk, antara lain, Shell raksasa energi, perusahaan keamanan siber Qualys, raksasa supermarket Krogerdan beberapa universitas di seluruh dunia seperti Kedokteran Stanford, Universitas ColoradoUniversitas Miami, Universitas California, dan Universitas Maryland Baltimore (UMB).
Jika Clop mengikuti strategi pemerasan yang serupa, kami kemungkinan akan melihat rilis cepat data untuk korban yang tidak membayar di situs kebocoran data pelaku ancaman dalam waktu dekat.
Badan federal memesan untuk menambal hingga 3 Maret
Fortra pengembang MFT GoAnywhere (sebelumnya dikenal sebagai HelpSystems) diungkapkan kepada pelanggannya minggu lalu bahwa kerentanan baru (CVE-2023-0669) dieksploitasi sebagai zero-day in the wild.
Perusahaan mengeluarkan pembaruan keamanan darurat setelah mengeksploitasi proof-of-concept dirilis secara daringmemungkinkan penyerang yang tidak diautentikasi untuk mendapatkan eksekusi kode jarak jauh di server yang rentan.
Padahal Shodan saat ini menunjukkan hal itu lebih dari 1.000 instans GoAnywhere terkena serangan, hanya 136 ada di port 8000 dan 8001 (yang digunakan oleh konsol admin yang rentan).
Fortra juga mengungkapkan, setelah merilis tambalan, bahwa beberapa instans yang dihosting MFTaaS juga dilanggar dalam serangan tersebut.
CISA ditambahkan kelemahan MFT GoAnywhere Katalog Kerentanan Tereksploitasi yang Diketahui pada hari Jumat, memerintahkan agen federal AS untuk mengamankan sistem mereka dalam tiga minggu ke depan, hingga 3 Maret.
