الفئة: استخبارات الخصم | الصناعة: تأمين | التحفيز: المالية والجيوسياسية | المنطقة: الهند/آسيا والمحيط الهادئ | مصدر*: D3

ملخص تنفيذي

‍

في 20 سبتمبر 2024، اكتشفت منصة xviGil التابعة لشركة CloudSek عامل التهديد، «XenZen»، الذي يبيع 7 تيرابايت من البيانات الحساسة من Star Health Insurance. تتضمن البيانات المسربة تفاصيل شخصية وصحية لأكثر من 31 مليون عميل ومطالبات تأمين لما يقرب من 6 ملايين فرد. تدعي شركة «XenZen» أنها حصلت على البيانات من المدير التنفيذي لشركة Star Health وأنشأت موقعًا إلكترونيًا وروبوتات Telegram لمشاركة العينات، والتي تبدو مشروعة.

في حين يتم تأكيد صحة البيانات بثقة عالية، فإن مشاركة CISO والمديرين التنفيذيين الآخرين تبدو ملفقة. تعرض هذه المقالة سلاسل الهجوم المحتملة بالإضافة إلى طرق التصنيع التي استخدمها «XenZen» الذي لديه أيضًا تاريخ من انتهاكات البيانات وقد تكون له دوافع جيوسياسية تتجاوز المكاسب المالية.

‍

التحليل والإسناد

معلومات من البريد

وفي 20 أيلول/سبتمبر 2024, كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت جهة تهديد تحمل لقب «XenZen» تبيع الوصول إلى أكثر من 7 تيرابايت من البيانات التي تم الحصول عليها من Star Health Insurance، وهي شركة تأمين صحي هندية متعددة الجنسيات يقع مقرها الرئيسي في تشيناي.

‍

‍*منشور بواسطة «XenZen» حول بيع البيانات التي تم الحصول عليها من Star Health Insurance*

‍

ذكر الممثل في المنشور أنه تم تسريب المعلومات التالية

‍

تسرب بيانات العملاء‍

31،216،953 عميلًا (البيانات حتى يوليو 2024)

الاسم الكامل
رقم PAN.
رقم الهاتف المحمول
البريد الإلكتروني
تاريخ الميلاد
العنوان السكني
تاريخ الميلاد المؤمن
اسم المؤمن عليه
الجنس
مرض موجود مسبقًا
رقم السياسة
بطاقة صحية
اسم المرشح
عمر المرشح
نسبة المطالبة بالمرشح
علاقة المرشح
الارتفاع المؤمن
الوزن
مؤشر كتلة الجسم والمزيد

‍

تسريب بيانات مطالبات التأمين

5,758,425 مطالبة (البيانات حتى أوائل أغسطس 2024)

صورة بطاقة آدهار
صورة بطاقة PAN
تقارير طبية/صحية مفصلة
العنوان السكني
تفاصيل الاتصال
تفاصيل مطالبة التأمين
تفاصيل المبلغ والمزيد

‍

ممثل التهديد مطالبات أنهم اشتروا البيانات مباشرة من المدير التنفيذي لشركة Star Health. لإثبات صحة هذه الادعاءات، قطع ممثل التهديد شوطًا إضافيًا وأنشأ موقعًا إلكترونيًا (محميًا خلف cloudflare) مخصصًا للبيانات المسربة من Star Health Insurance. تم تسجيل موقع الويب في أغسطس 2024، بعد المحادثة المزعومة مع CISO للشركة.

قام ممثل التهديد بإنشاء روبوتين تيليجرام لنشر عينات من بيانات العملاء والتأمين إلى جمهور أوسع. يشير التحليل إلى أن عينات البيانات شرعية وتنتمي إلى الشركة المستهدفة.

‍

محاولات يائسة لجعل المديرين التنفيذيين يبدون سيئين؟

قام ممثل التهديد بتحميل مقطع فيديو على موقع الويب المخصص لهذا الخرق، مدعيًا أنه كان يناقش مع CISO والإدارة العليا حول شراء هذه البيانات، من الشركة نفسها. ومع ذلك، لم يقم ممثل التهديد بما يلي: بعض النصوص
- عرض عنوان البريد الإلكتروني الكامل
- قم بتحديث الصفحة

*مقتطف من الفيديو الذي تمت مشاركته بواسطة «XenZen» يدعي أن CISO تفاعل معهم مباشرة*

‍

من ناحية أخرى، رأينا داخل الفيديو الذي شاركه ممثل التهديد

الحالات التي يُزعم فيها أن CISO يستخدم البريد الإلكتروني للشركة لمناقشة البيع مع ممثل التهديد.
حالات يتحدث فيها CISO (بفظاظة) عن تورط كبار المديرين التنفيذيين في هذا الخرق.
الحالات التي يقوم فيها CISO بإدارة الوصول إلى API المقدم إلى جهة التهديد

Analyst Note -
The threat actor has shared two simultaneous chats between star health and himself, the left side of the screen is TOX which is a P2P messaging platform used primarily for anonymity. On the right however are emails allegedly originating from the official email which is highly unlikely. This can be done by a simple trick as "inspect element" function and altering the HTML code to make it look like the email originated from official channels The credentials allegedly shared by the CISO to the Threat Actor to access the API are part of a separate credential breach on the darkweb It is likely that the threat actor used the publicly available credentials and exploited an IDOR vulnerability in the API subsequently dumped data The threat actor belongs to China and has had geopolitical motives to create chaos and spread disinformation among Indian masses

Analyst Note -

The threat actor has shared two simultaneous chats between star health and himself, the left side of the screen is TOX which is a P2P messaging platform used primarily for anonymity. On the right however are emails allegedly originating from the official email which is highly unlikely. This can be done by a simple trick as "inspect element" function and altering the HTML code to make it look like the email originated from official channels
The credentials allegedly shared by the CISO to the Threat Actor to access the API are part of a separate credential breach on the darkweb
It is likely that the threat actor used the publicly available credentials and exploited an IDOR vulnerability in the API subsequently dumped data
The threat actor belongs to China and has had geopolitical motives to create chaos and spread disinformation among Indian masses

‍

استنادًا إلى المعلومات المتاحة، يمكننا التأكد بثقة عالية من أن ممثل التهديد لديه بيانات تنبع من Star Health Insurance. ومع ذلك، فإن مشاركة CISO والمديرين التنفيذيين الآخرين تبدو مستبعدة للغاية وملفقة، على أقل تقدير.

‍

نشاط وتصنيف الجهات الفاعلة في مجال التهديد

‍

Threat Actor Profiling
Active since	June 2024
Reputation	30 [Automated reputation received upon buying a rank on Breachforums]
Current Status	ACTIVE
History's	The threat actor claims to be from China and has a history of spreading propaganda. Previously, the threat actor claimed to have compromised Airtel's servers and claimed responsibility for that data breach. However, our investigation revealed that the data samples could be found in the Indian Telecom Leak that happened in December 2023. The threat actor has previously claimed to have sold data originating from the Indian Ministry of External Affairs about Diplomatic Passport Holders, and is known for marking overpriced selling threads as sold. While the apparent motivation of the threat actor may seem to be financial, the Airtel case adds a geopolitical angle to the threat actor's motivations.
Previous Targets	Airtel(Debunked) Ministry of External Affairs(Unverified)
Tactics	Is known to spread disinformation Marks potentially unsold data as sold on the forum to create more reputation
Rating	Medium

‍

التأثير

تم تسريب المعلومات الصحية الشخصية والحساسة لأكثر من 31 مليون عميل، بما في ذلك السجلات الطبية وأرقام PAN وتفاصيل Aadhaar، مما أدى إلى مخاطر الخصوصية والأمان.
يؤدي الاختراق إلى تآكل ثقة العملاء وإلحاق الضرر بصورة العلامة التجارية لشركة Star Health وإثارة المخاوف بشأن ممارسات حماية البيانات الخاصة بالشركة.
قد تواجه Star Health عقوبات تنظيمية ودعاوى قضائية وخسائر مالية بسبب عدم الامتثال لقوانين حماية البيانات (على سبيل المثال، GDPR، ومشروع قانون حماية البيانات في الهند).

‍

عوامل التخفيف

راقب باستمرار بيانات الاعتماد المسربة التي تفتح سطح هجوم مختلف تمامًا وتحقق من صحة بيانات الاعتماد هذه على البنية التحتية الخاصة بك. تقوم منصة CloudSek xviGil بذلك لعملائنا اليوم.
يجب إجراء اختبار صارم ومتكرر لواجهة برمجة التطبيقات للتحقق من عيوب التعرض للبيانات. تقوم مؤسسة CloudSek Bevigil بذلك.
قم بتطبيق الكشف السلوكي/تحديد المعدل و MFA على نقاط نهاية تسجيل دخول العملاء أيضًا لتجنب هجمات حشو بيانات الاعتماد
قم بتطبيق تشفير قوي للبيانات المخزنة والمرسلة، إلى جانب عمليات تدقيق الأمان المنتظمة لتحديد الثغرات الأمنية.
تعزيز إدارة الوصول، بما في ذلك تقييد الوصول المميز إلى الحساب وتنفيذ المصادقة متعددة العوامل (MFA) لجميع الموظفين والأطراف الثالثة. ترقب التهديدات الداخلية.
بدء خطة قوية للاستجابة للحوادث، بما في ذلك إشراك الجهات الفاعلة في مجال التهديد وإخطار العملاء المتضررين، وتقديم خدمات الحماية من سرقة الهوية، والتعاون مع سلطات إنفاذ القانون للتحقيق في الخرق.

‍