Ransomware dalam Layanan Kesehatan: Pelajaran yang Dipetik dari Serangan Interlock

Ringkasan

• Lihat evolusi dari sebuah kelompok aktivitas yang awalnya diidentifikasi sebagai Remote Access Trojan (RAT) menjadi operator ransomware.
• Kelompok ransomware Interlock menunjukkan perhatian khusus pada sektor layanan kesehatan.
• Kami menyoroti pentingnya pelacakan awal terhadap pelaku ancaman serta berbagi informasi.

Rekomendasi

• Menjaga opsi pencadangan dan pemulihan data.
• Melakukan penilaian risiko secara terus-menerus untuk pertahanan yang proaktif.
• Memastikan bahwa deteksi ancaman dan opsi perburuan ancaman mencakup seluruh jaringan.

Pada September 2024, Texas Tech University Health Sciences Centers (HSCs) mengalami serangan siber yang mengakibatkan kebocoran 1,46 juta catatan pasien, termasuk nama, nomor jaminan sosial, informasi keuangan, informasi asuransi kesehatan, serta data diagnosis dan pengobatan.

Pihak HSCs tidak mengungkapkan pelaku serangan, tetapi kelompok ransomware Interlock—sebuah grup ancaman yang berevolusi dari Remote Access Trojan (RAT) yang pertama kali kami identifikasi sebagai Chaya_002—mengklaim serangan tersebut di situs kebocoran data mereka pada Oktober. Kelompok ransomware yang sama kemudian berhasil membobol Legacy Treatment Services, mengekstrak 170 GB data, serta dua organisasi layanan kesehatan lainnya.

Sejak saat itu, Interlock telah mengklaim total 14 korban di situs mereka, seperti yang ditunjukkan dalam gambar di bawah ini.

Kelompok ini telah menunjukkan preferensi yang jelas dalam menyerang organisasi layanan kesehatan—terutama di AS, di mana hampir sepertiga dari korban mereka berasal dari sektor ini. Dalam pembahasan ini, kami menyoroti tiga topik dari kasus ini yang menggambarkan pentingnya penelitian tepat waktu terhadap pelaku ancaman:

• Evolusi Chaya_002 menjadi ransomware Interlock
• Alasan mengapa kelompok ransomware terus menargetkan sektor layanan kesehatan
• Pelajaran yang dipetik dan rekomendasi

Melacak Evolusi ke Ransomware: Dari Chaya_002 ke Interlock

Pada September 2024, Forescout Research – Vedere Labs mengidentifikasi sebuah kelompok aktivitas dengan menganalisis injeksi JavaScript mencurigakan pada situs web yang sah. Kami menamai kelompok tersebut Chaya_002, yang mengungkap penggunaan:

• Sistem distribusi lalu lintas yang mengarahkan pengguna melalui situs WordPress yang telah dikompromikan untuk mengunduh tahap awal
• JavaScript untuk kompromi awal
• Powershell untuk mengunduh file eksekusi yang menyamar sebagai pembaruan browser
• Komunikasi terenkripsi dengan command and control (C2)
• Tugas terjadwal untuk mempertahankan keberlanjutan akses

Dalam blog awal kami, kami juga menyebutkan kemungkinan evolusi dari kelompok ini untuk menyebarkan ransomware. Signifikansi Chaya_002 menjadi jelas pada awal November ketika laporan mengenai ransomware Interlock muncul, yang mempertahankan banyak teknik, taktik, dan prosedur (TTP) inti Chaya_002 dan memperluas kemampuannya. Hal ini dikonfirmasi lebih lanjut melalui analisis pada Januari 2025.

Membandingkan laporan awal kami tentang Chaya_002 dengan laporan ransomware Interlock dari perusahaan lain menunjukkan jalur evolusi yang jelas. Pola yang konsisten dalam penggunaan infrastruktur, struktur kode Powershell, indikator jaringan, dan metodologi operasional menunjukkan adanya hubungan langsung dalam pengembangan antara keluarga malware ini. Memahami hubungan dan pola ini sangat penting untuk perburuan ancaman (threat hunting) serta strategi pertahanan terhadap evolusi ancaman di masa depan.

Hingga tahap akses kredensial, aktivitas yang dilaporkan untuk Chaya_002 dan ransomware Interlock hampir identik:

• Untuk akses awal, keduanya menunjukkan pola yang konsisten dalam nama domain dan nama file, termasuk pengunduhan awal upd[random_numeric_string].[exe|msix].
• Keduanya mengunduh tahap kedua dari apple-online[.]shop, yang menyamar sebagai pembaruan browser.
• Keduanya mempertahankan keberlanjutan akses melalui file .lnk yang mengarah ke payload awal.
• Keduanya mengumpulkan informasi dari mesin korban, seperti data login, profil, cookie, dan riwayat browser.

Di luar kesamaan awal ini, dua laporan lanjutan mengidentifikasi TTP baru:

• Pencurian kredensial melalui keylogger DLL yang dieksekusi dengan RunDll32.exe.
• Upaya pre-kerberoasting menggunakan Powershell. [Catatan: Meskipun kami tidak mengamati Kerberoasting dalam Chaya_002, hal ini disebutkan dalam penasihat keamanan Kanada CF24-005 yang kami kutip dalam laporan awal.]
• Lateral movement menggunakan AnyDesk, Putty, dan RDP.
• Eksfiltrasi data menggunakan AzCopy ke penyimpanan Azure jarak jauh.
• Penyebaran ransomware menggunakan enkriptor yang mengidentifikasi drive logis untuk mengenkripsi file di mesin korban.

Gambaran Besar Ransomware dalam Layanan Kesehatan

Evolusi Chaya_002 menjadi ransomware Interlock menyoroti perkembangan Remote Access Trojan (RAT) yang tersembunyi menjadi operator ransomware dengan strategi double extortion (pemerasan ganda).

Pelanggaran data di sektor layanan kesehatan akibat ransomware tidak hanya berdampak pada keuangan, tetapi juga nyawa pasien, dengan risiko operasional yang lebih tinggi dibandingkan sektor lain—termasuk waktu henti yang berkepanjangan dan gangguan dalam perawatan pasien.

Kami telah menganalisis insiden ransomware besar di sektor layanan kesehatan selama beberapa tahun, termasuk serangan terhadap NHS Inggris pada 2022, ransomware Rhysida pada 2023, dan tinjauan risiko ransomware dalam layanan kesehatan pada 2024. Selama periode ini, kami tidak melihat adanya penurunan aktivitas yang menargetkan sektor ini. Sebaliknya, laporan terbaru dari Microsoft mengungkapkan bahwa:

• Organisasi layanan kesehatan yang mengakui telah membayar tebusan rata-rata membayar $4,4 juta.
• Serangan ransomware menyebabkan organisasi layanan kesehatan kehilangan $900.000 per hari hanya akibat waktu henti.
• Serangan ini tidak hanya memengaruhi organisasi yang menjadi target, tetapi juga rumah sakit tetangga yang harus menangani pasien yang tidak dapat dirawat di fasilitas yang diserang. Efek domino ini meliputi peningkatan 35% kedatangan pasien darurat dan 15% peningkatan volume pasien secara keseluruhan.

Salah satu alasan utama mengapa sektor layanan kesehatan menjadi target utama kelompok ransomware adalah tekanan tinggi untuk membayar tebusan, akibat dampak operasional yang besar dan potensi sanksi peraturan.

Alasan lainnya adalah kompleksitas jaringan mereka yang sulit untuk dipertahankan. Dalam jaringan layanan kesehatan rata-rata, terdapat ribuan perangkat medis, mulai dari pompa infus hingga mesin MRI, yang menciptakan permukaan serangan yang luas. Dalam laporan terbaru kami mengenai risiko perangkat IoMT (Internet of Medical Things), kami menemukan bahwa sekitar 50% perangkat dalam jaringan layanan kesehatan tidak terkelola, yang membawa risiko seperti kurangnya visibilitas dan terbatasnya kemampuan deteksi ancaman.

Pelajaran yang Dipetik dan Rekomendasi

Chaya_002 adalah kelompok aktivitas kedua yang mulai kami lacak tahun lalu, setelah kampanye yang kami beri nama Connect:fun dari Chaya_001 dan malware OT/ICS yang kami beri nama Chaya_003.

Chaya_002 juga merupakan kelompok pertama yang kami lihat berkembang begitu cepat menjadi aktivitas yang lebih merusak. Hal ini semakin memperkuat motivasi kami untuk terus melacak pelaku ancaman dan membagikan informasi ini secara publik.

Evolusi dari Chaya_002 menjadi ransomware Interlock memberikan beberapa pelajaran penting yang juga mengarah pada rekomendasi bagi organisasi layanan kesehatan:

1. Menjaga Opsi Pencadangan dan Pemulihan

Karena enkripsi data pada workstation dan sistem medis dapat mengganggu perawatan pasien, pencadangan data secara teratur serta protokol pemulihan sangat penting untuk mengurangi waktu henti. Namun, pencadangan dan pemulihan saja tidak cukup untuk menghindari dampak ransomware sepenuhnya.

1. Mengendalikan Infeksi Ransomware dengan Cepat

Kelompok ransomware semakin sering menggunakan teknik double extortion (enkripsi dengan pencurian data) karena hal ini memberikan tekanan tambahan pada organisasi untuk membayar demi menjaga privasi pasien dan menghindari denda regulasi. Oleh karena itu, organisasi harus memastikan bahwa mereka memiliki kemampuan untuk mencegah, mendeteksi, dan mengendalikan infeksi ransomware secara tepat waktu guna menghindari eksfiltrasi data.

1. Melakukan Penilaian Risiko Secara Berkelanjutan untuk Pertahanan Proaktif
   Langkah pertama dalam memastikan pertahanan proaktif terhadap ransomware adalah dengan melakukan penilaian risiko secara terus-menerus terhadap semua aset dalam jaringan yang dapat dimanfaatkan dalam serangan, baik perangkat yang dikelola maupun yang tidak dikelola.
   Penilaian risiko bergantung pada visibilitas yang tepat terhadap aset-aset ini, termasuk kehadiran mereka di jaringan, tingkat eksposur, dan potensi dampaknya. Dengan visibilitas dan penilaian risiko yang tepat, organisasi dapat memprioritaskan tindakan korektif proaktif, seperti memperkuat segmentasi jaringan, autentikasi, dan kontrol akses untuk mencegah pergerakan lateral yang tidak sah dalam jaringan.
2. Menggunakan Deteksi Ancaman dan Perburuan Ancaman
   Setelah organisasi memiliki opsi pemulihan serta penilaian risiko yang tepat, langkah selanjutnya adalah memastikan bahwa deteksi ancaman dan perburuan ancaman mencakup semua aset berisiko yang telah diidentifikasi.
   • Deteksi ancaman dari sinyal jaringan dan endpoint sangat penting untuk menangkap tanda-tanda intrusi sebelum data sensitif dapat dieksfiltrasi.
   • Perburuan ancaman berbasis indikator awal dan analisis pola anomali, seperti perintah Powershell yang mencurigakan, dapat menemukan ancaman sebelum mereka mengganggu sistem.

Menggunakan contoh dalam laporan ini, memburu indikator Chaya_002 dapat membantu mencegah infeksi Interlock di masa depan.

Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.

Pelajari lebih lanjut di forescout.ilogoindonesia.com dan konsultasikan kebutuhan IT Anda dengan kami!

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan forescout indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi forescout.ilogoindonesia.id untuk informasi lebih lanjut!