Een vermeende ransomware-aanval op 1-800-Dentist, een van de grootste tandheelkundige ondersteuningsorganisaties in de Verenigde Staten, had de persoonlijke en medische informatie van ongeveer 2,3 miljoen patiënten kunnen blootleggen nadat de Qilin-ransomwaregroep de verantwoordelijkheid voor de inbreuk had opgeëist.
Het incident trof een netwerk dat meer dan 800 tandartspraktijken in het hele land ondersteunt. Volgens meldingen over datalekken kregen aanvallers ongeautoriseerde toegang tot de systemen van de organisatie en exfiltreerden ze gevoelige gegevens voordat ze ransomware inzetten.
De gecompromitteerde informatie varieert per persoon, maar kan namen, adressen, geboortedata, telefoonnummers, e-mailadressen, sofinummers, rijbewijsnummers, zorgverzekeringsgegevens, behandelgegevens, patiëntdossiers en andere medische gegevens omvatten. Financiële informatie kan ook voor sommige personen zijn blootgesteld.
De ransomware-bende Qilin heeft de organisatie sindsdien op hun leksite vermeld en beweert een grote hoeveelheid interne bestanden te hebben gestolen. Net als veel moderne ransomware-operaties gebruikt Qilin een dubbele afpersingsstrategie: het stelen van gegevens voordat de systemen worden versleuteld en dreigen de informatie te publiceren als er geen losgeld wordt betaald.
De organisatie zei dat zij een onderzoek is gestart met hulp van externe cybersecurity-experts nadat zij verdachte activiteiten op haar netwerk hadden ontdekt. Getroffen systemen werden beveiligd, de politie werd geïnformeerd en getroffen personen begonnen meldingen van dataleken te ontvangen.
Zorgorganisaties blijven aantrekkelijke doelwitten voor ransomwaregroepen omdat ze grote hoeveelheden waardevolle persoonlijke en medische informatie opslaan. Gestolen medische dossiers kunnen hogere prijzen opleveren dan financiële gegevens op cybercrimemarkten, omdat ze langdurige identiteitsinformatie bevatten die moeilijk te wijzigen is.
Qilin is de afgelopen twee jaar uitgegroeid tot een van de meest actieve ransomware-operaties, gericht op organisaties in de gezondheidszorg, productie, overheid en kritieke infrastructuur. De groep hanteert een ransomware-as-a-service-model, waardoor affiliates aanvallen kunnen uitvoeren terwijl ze losgeldbetalingen delen met de exploitanten.
Patiënten die door het datalek zijn getroffen, worden aangemoedigd hun financiële rekeningen te monitoren, uitleg over uitkeringen van hun zorgverzekeraars te bekijken en alert te blijven op phishing-e-mails of frauduleuze communicatie die verwijzen naar gezondheidsdiensten of verzekeringsclaims.