Pada hari Selasa, sistem TI dan telepon di rumah sakit McLaren Health Care terganggu setelah serangan yang terkait dengan operasi ransomware INC Ransom.
McLaren adalah sistem perawatan kesehatan nirlaba dengan pendapatan tahunan lebih dari $6,5 miliar, yang mengoperasikan jaringan 13 rumah sakit di seluruh Michigan yang didukung oleh tim yang terdiri dari 640 dokter. McLaren juga memiliki lebih dari 28.000 karyawan dan bekerja sama dengan 113.000 penyedia jaringan di seluruh Michigan, Indiana, dan Ohio.
“Sementara McLaren Health Care terus menyelidiki gangguan pada sistem teknologi informasi kami, kami ingin memastikan tim kami siap semaksimal mungkin untuk merawat pasien saat mereka tiba,” penyataan pada situs web sistem kesehatan tersebut tertulis.
“Pasien dengan janji temu terjadwal harus merencanakan untuk menghadiri janji temu tersebut kecuali mereka dihubungi oleh anggota tim perawatan kami.
McLaren mengisyaratkan rumah sakit telah kehilangan akses ke basis data informasi pasien saat menyarankan pasien untuk membawa informasi terperinci tentang pengobatan mereka saat ini ke janji temu, termasuk perintah dokter dan hasil cetak tes laboratorium terkini. Sistem kesehatan juga mengatakan mungkin harus menjadwalkan ulang beberapa janji temu dan prosedur non-darurat atau elektif “sebagai bentuk kehati-hatian.”
“Kami memahami bahwa situasi ini dapat membuat pasien kami – dan anggota tim kami – frustrasi, dan kami mohon maaf yang sebesar-besarnya atas ketidaknyamanan yang ditimbulkan,” McLaren menambahkan. “Kami mohon kesabaran Anda sementara para perawat dan tim pendukung kami bekerja keras seperti biasa untuk menyediakan perawatan yang dibutuhkan dan layak bagi masyarakat kami.”
Meskipun McLaren belum mengungkapkan sifat insiden tersebut, karyawan di Rumah Sakit McLaren Bay Region di Bay City telah membagikan catatan tebusan yang memperingatkan bahwa sistem rumah sakit telah dienkripsi dan data yang dicuri akan dipublikasikan di situs kebocoran geng ransomware INC RANSOM jika tebusan tidak dibayarkan.
INC Ransom adalah operasi ransomware-as-a-service (RaaS) yang muncul pada bulan Juli 2023 dan sejak itu menargetkan organisasi di sektor publik dan swasta.
Daftar korbannya mencakup lembaga pendidikan, layanan kesehatan, pemerintahan, dan industri seperti Yamaha Motor Filipinadivisi AS Solusi Bisnis Xerox (XBS), dan Skotlandia Layanan Kesehatan Nasional (NHS).
Pada bulan Mei, seorang pelaku ancaman yang dikenal sebagai “salfetka” mengaku menjual kode sumber versi enkripsi INC Ransom Windows dan Linux/ESXi seharga $300.000 di forum peretasan Exploit dan XSS.
Dua bulan kemudian, pada bulan Juli, analis malware menyatakan bahwa kode sumbernya mungkin telah dibeli oleh kelompok ransomware baru yang disebut Lynx ransomware. Namun, ini juga bisa menjadi upaya rebranding, yang berpotensi memungkinkan INC RANSOM untuk melanjutkan operasinya dengan pengawasan yang lebih sedikit dari penegak hukum.
BleepingComputer melakukan analisis terhadap rangkaian antara enkripsi ransomware Lynx baru dan enkripsi INC terkini, dan selain perubahan kecil, dapat mengonfirmasi bahwa sebagian besarnya sama.
Pada bulan November 2023, McLaren memberitahukan hampir 2,2 juta orang pelanggaran data yang mengekspos informasi pribadi dan kesehatan mereka antara akhir Juli dan Agustus 2023.
Data yang dikompromikan mencakup nama, nomor Jaminan Sosial, asuransi kesehatan dan informasi dokter, serta Medicare/Medicaid, resep/pengobatan, dan hasil diagnostik serta informasi perawatan.
Kelompok ransomware ALPHV/BlackCat mengklaim berada di balik serangan Juli 2023 yang menyebabkan pelanggaran data pada 4 Oktober.
