افشای اطلاعات ۱.۲ میلیون بیمار در پی نقض داده‌های SimonMed

شرکت ارائه‌دهنده خدمات تصویربرداری پزشکی در آمریکا، SimonMed Imaging، در حال اطلاع‌رسانی به بیش از ۱.۲ میلیون نفر درباره نقض داده‌ای است که اطلاعات حساس آن‌ها را در معرض افشا قرار داده است.

SimonMed Imaging یک ارائه‌دهنده خدمات تصویربرداری و رادیولوژی سرپایی است و خدماتی نظیر MRI و CT اسکن، عکس‌برداری X-Ray، سونوگرافی، ماموگرافی، PET، پزشکی هسته‌ای، سنجش تراکم استخوان و رادیولوژی مداخله‌ای ارائه می‌دهد.

این شرکت رادیولوژی حدود ۱۷۰ مرکز درمانی در ۱۱ ایالت آمریکا را اداره می‌کند و درآمد سالانه‌ای بیش از ۵۰۰ میلیون دلار دارد.

سه هفته دسترسی غیرمجاز

بر اساس اطلاعیه‌ای که به مراجع ذی‌ربط ارائه شده است، مهاجمان سیستم‌های SimonMed را در بازه زمانی ۲۱ ژانویه تا ۵ فوریه هدف قرار داده و به شبکه شرکت دسترسی پیدا کرده‌اند.

SimonMed در تاریخ ۲۷ ژانویه، از طریق یکی از تأمین‌کنندگان خود از وقوع این حادثه مطلع شد. این تأمین‌کننده هشدار داده بود که با یک «رخداد امنیتی» مواجه است. پس از آغاز تحقیقات، این شرکت پزشکی یک روز بعد فعالیت مشکوک را در شبکه خود تأیید کرد.

شرکت در بیانیه‌ای اعلام کرد:
«پس از کشف اینکه قربانی یک حمله مجرمانه شده‌ایم، بلافاصله تحقیقات را آغاز کرده و اقداماتی را برای مهار شرایط انجام دادیم.»

اقدامات انجام‌شده شامل بازنشانی گذرواژه‌ها، فعال‌سازی احراز هویت چندمرحله‌ای، افزودن سامانه‌های پایش EDR (تشخیص و پاسخ نقطه پایانی)، قطع دسترسی مستقیم تأمین‌کنندگان شخص ثالث به سیستم‌های داخلی و ابزارهای مرتبط، و محدودسازی ترافیک ورودی و خروجی به اتصالات مورد اعتماد بود.

این شرکت همچنین موضوع را به مراجع قضایی گزارش داده و از خدمات کارشناسان امنیت داده و حریم خصوصی استفاده کرده است.

SimonMed به‌صورت عمومی اعلام نکرده است چه اطلاعاتی به‌طور دقیق به سرقت رفته است، به‌جز نام کامل افراد؛ اما با توجه به نوع داده‌های ذخیره‌شده در سیستم‌های شرکت‌های تصویربرداری پزشکی، این اطلاعات می‌تواند بسیار حساس باشد.

با این حال، SimonMed تأکید کرده است که تا تاریخ ۱۰ اکتبر، هیچ مدرکی مبنی بر سوءاستفاده از اطلاعات دسترسی‌یافته برای انجام کلاهبرداری یا سرقت هویت در دست نیست.

به دریافت‌کنندگان نامه اطلاع‌رسانی، اشتراک رایگان خدمات محافظت از سرقت هویت از طریق شرکت Experian ارائه شده است.

حمله باج‌افزاری Medusa

گروه باج‌افزاری Medusa در تاریخ ۷ فوریه SimonMed Imaging را در پورتال اخاذی خود اعلام کرد و مدعی شد ۲۱۲ گیگابایت داده از این شرکت سرقت کرده است.

مهاجمان همچنین بخشی از داده‌ها را به‌عنوان مدرک حمله افشا کردند که شامل اسکن کارت‌های شناسایی، صفحات گسترده حاوی اطلاعات بیماران، جزئیات پرداخت و مانده حساب، گزارش‌های پزشکی و اسکن‌های خام بود.

در آن زمان، عاملان تهدید مبلغ ۱ میلیون دلار به‌عنوان باج و ۱۰ هزار دلار برای تمدید یک‌روزه مهلت پیش از انتشار کامل فایل‌های سرقت‌شده درخواست کردند.

در حال حاضر، نام شرکت SimonMed Imaging دیگر در وب‌سایت افشای داده گروه باج‌افزاری Medusa دیده نمی‌شود. این وضعیت معمولاً نشان‌دهنده آن است که شرکت وارد مذاکره با مهاجمان شده و مبلغ باج را پرداخت کرده است.

عملیات باج‌افزاری به‌عنوان سرویس (RaaS) گروه Medusa در سال ۲۰۲۳ آغاز شد و با حملاتی نظیر حمله به مدارس دولتی مینیاپولیس (MPS) شهرت پیدا کرد. این گروه همچنین شرکت Toyota Financial Services را نیز هدف قرار داده بود.

در یک هشدار مشترک که در مارس ۲۰۲۵ توسط FBI، CISA و MS-ISAC منتشر شد، نسبت به فعالیت‌های باج‌افزاری Medusa هشدار داده شد. در این اطلاعیه تأکید شده بود که این گروه تهدید بیش از ۳۰۰ سازمان زیرساخت حیاتی در ایالات متحده را هدف قرار داده است.