Un atac cibernetic asupra subsidiarei UnitedHealth Group, Optum, care a condus la o întrerupere în curs de desfășurare afectând platforma de schimb de plăți Change Healthcare, a fost legat de grupul de ransomware BlackCat de surse familiare cu investigația.
Change Healthcare a avertizat clienții miercuri că unele dintre serviciile sale sunt offline din cauza unui incident de securitate cibernetică. O zi mai târziu, UnitedHealth Group a declarat într-o depunere SEC 8-K că atacul cibernetic a fost coordonat de presupuți hackeri de nivel național care au obținut acces la sistemele IT ale Change Healthcare.
Închiderea Change Healthcare a condus la întreruperi extinse în facturare, deoarece platforma este larg utilizată în sistemul de sănătate din SUA de către înregistrarea electronică a sănătății (EHR), procesarea plăților, coordonarea îngrijirii și sistemele de analiză a datelor în spitale, clinici și farmacii.
De atunci, Optum a furnizat actualizări zilnice ale incidentelor pe o pagină de stare dedicată, avertizând că sistemele Change Healthcare sunt încă offline pentru a preveni un impact suplimentar și a conține încălcarea, cu întreruperea afectând în prezent cele mai multe servicii.
„Avem un nivel înalt de încredere că sistemele Optum, UnitedHealthcare și UnitedHealth Group nu au fost afectate de această problemă”, spune Optum.
„Lucrăm la mai multe abordări pentru a restaura mediul afectat și nu vom lua nicio scurtătură sau nu vom lua niciun risc suplimentar pe măsură ce readucem sistemele online.”
De când atacul și-a lovit sistemele, ChangeHealthcare a efectuat apeluri Zoom cu partenerii din industria de sănătate pentru a oferi actualizări despre atacul cibernetic.
Unul dintre cei implicați în aceste apeluri a declarat pentru BleepingComputer că atacul a fost legat de grupul de ransomware BlackCat (ALPHV) de către experți în investigații de incidente implicați în răspunsul la incidente (Reuters a raportat prima dată legătura Blackcat luni).
O altă sursă a declarat pentru BleepingComputer vineri că unul dintre indicatorii compromiterii este o problemă critică de bypass de autentificare ScreenConnect (CVE-2024-1709) exploatată activ în atacuri pentru a implementa ransomware pe servere neactualizate.
BleepingComputer nu a reușit să confirme independent afirmațiile surselor.
La momentul publicării acestui articol, BlackCat nu și-a revendicat încă atacul asupra Change Healthcare, indicând că ar putea fi încă în procesul de a încerca să extorche un răscumpărare.
United Health Group (UHG) este o companie de asigurări de sănătate cu prezență în toate cele 50 de state ale SUA, care are contracte cu peste 1,6 milioane de medici și profesioniști în îngrijire, precum și cu 8.000 de spitale și alte facilități de îngrijire.
UHG are 440.000 de angajați la nivel mondial și este cea mai mare companie de sănătate din lume în funcție de venituri (324,2 miliarde de dolari în 2022).
Optum Solutions, subsidiara sa, operează platforma Change Healthcare, cea mai mare platformă de schimb de plăți care conectează medicii, farmaciile, furnizorii de sănătate și pacienții din sistemul de sănătate din SUA.
Vorbitorii UnitedHealth Group și Optum nu au fost imediat disponibili pentru comentarii atunci când BleepingComputer a solicitat confirmarea atacului de ransomware BlackCat.
Un reprezentant BlackCat nu a răspuns solicitării BleepingComputer pentru comentarii înainte ca acest articol să fie publicat.
BlackCat a apărut în noiembrie 2021 ca o presupusă rebranduire a operațiunilor de ransomware DarkSide și BlackMatter.
DarkSide a obținut rapid notorietate la nivel mondial după atacul Colonial Pipeline, care a condus la investigații extinse de către agențiile de aplicare a legii din întreaga lume și operațiunea a trebuit să treacă printr-o rebranduire suplimentară.
FBI a legat BlackCat de peste 60 de încălcări în primele patru luni de activitate între noiembrie 2021 și martie 2022. Estimează, de asemenea, că BlackCat a strâns cel puțin 300 de milioane de dolari în plăți de răscumpărare de la peste 1.000 de victime până în septembrie 2023.
Operațiunile bandei au fost perturbate în decembrie, FBI-ul luând temporar în jos site-urile sale de negociere și de scurgeri Tor după ce a spart serverele sale și a creat un instrument de decriptare folosind cheile colectate în timpul intruziunii de luni de zile.
BlackCat și-a „dezafectat” de atunci site-ul de scurgeri folosind cheile private pe care le dețineau încă și operează acum un nou site de scurgere Tor pe care FBI-ul nu l-a luat încă jos.
În timp ce depunerea SEC a UnitedHealth Group afirmă că un actor de amenințare de nivel național stă în spatele atacului, BlackCat nu a fost încă legat public de agențiile guvernamentale străine.
Departamentul de Stat al SUA oferă recompense de până la 10 milioane de dolari pentru informații care duc la identificarea sau localizarea liderilor bandei ALPHV și 5 milioane de dolari pentru informații despre persoanele implicate în atacurile de ransomware BlackCat.
SUA oferă până la 15 milioane de dolari pentru informații despre banda de ransomware ALPHV
UnitedHealth confirmă că Optum este în spatele întreruperii facturării în sistemul de sănătate din SUA
Ransomware-ul ALPHV pretinde că a atacat loanDepot și Prudential Financial
Trans-Northern Pipelines investighează afirmațiile de atac ransomware ALPHV
Noul malware RustDoor pentru macOS se prezintă ca o actualizare Visual Studio
Leave a Reply