Atak ransomware, który miał miejsce na początku tego roku na Change Healthcare, firmę technologiczną z branży medycznej należącą do UnitedHealth, prawdopodobnie jest jednym z największych naruszeń danych medycznych i zdrowotnych w USA w historii.

Kilka miesięcy po naruszeniu bezpieczeństwa danych w lutym „znaczna część osób mieszkających w Ameryce” otrzymuje pocztą zawiadomienia o tym, że ich dane osobowe i medyczne zostały skradzione przez cyberprzestępców podczas cyberataku na Change Healthcare.

Change Healthcare przetwarza fakturowanie i ubezpieczenia dla setek tysięcy szpitali, aptek i praktyk medycznych w sektorze opieki zdrowotnej w USA. W związku z tym zbiera i przechowuje ogromne ilości wysoce poufnych danych medycznych na temat pacjentów w Stanach Zjednoczonych. Poprzez serię fuzji i przejęć Change stała się jednym z największych procesorów danych medycznych w USA, obsługując od jednej trzeciej do połowy wszystkich transakcji zdrowotnych w USA.

Oto, co wydarzyło się od początku ataku ransomware.

21 lutego 2024 r.

Pierwszy raport o przerwach w dostawie prądu w związku z incydentem bezpieczeństwa

Wydawało się, że to zwykłe środowe popołudnie, dopóki nie przestanie takie być. Awaria była nagła. 21 lutego systemy rozliczeniowe w gabinetach lekarskich i placówkach opieki zdrowotnej przestały działać, a przetwarzanie roszczeń ubezpieczeniowych zostało wstrzymane. Strona ze statusem na stronie internetowej Change Healthcare została zalana powiadomieniami o awariach, które wpłynęły na każdą część jej działalności, a później tego samego dnia firma potwierdziła, że ​​„doświadczyła przerwy w działaniu sieci związanej z problemem cyberbezpieczeństwa”. Najwyraźniej coś poszło bardzo nie tak.

Okazuje się, że Change Healthcare uruchomiło swoje protokoły bezpieczeństwa i zamknęło całą sieć, aby odizolować intruzów, których znalazło w swoich systemach. Oznaczało to nagłe i powszechne przerwy w działaniu w sektorze opieki zdrowotnej, który opiera się na garstce firm — takich jak Change Healthcare — w obsłudze roszczeń z tytułu ubezpieczeń zdrowotnych i rozliczeń dla ogromnych obszarów Stanów Zjednoczonych. Później ustalono, że hakerzy pierwotnie włamali się do systemów firmy ponad tydzień wcześniej, około 12 lutego.

29 lutego 2024 r.

UnitedHealth potwierdza, że ​​padła ofiarą gangu ransomware

Po początkowym (i błędnym) przypisaniu włamania hakerom pracującym dla rządu lub państwa narodowego, UnitedHealth później, 29 lutego, oświadczyło, że cyberatak był w rzeczywistości dziełem gangu ransomware. UnitedHealth stwierdziło, że gang „przedstawiał się nam jako ALPHV/BlackCat”, powiedział wówczas rzecznik firmy TechCrunch. Witryna z przeciekami w darknecie związana z gangiem ALPHV/BlackCat również wzięła odpowiedzialność za atak, twierdząc, że ukradła poufne informacje o zdrowiu i pacjentach milionów Amerykanów, co dało pierwsze wskazówki, jak wiele osób dotknęło to zdarzenie.

ALPHV (znany również jako BlackCat) to znany rosyjskojęzyczny gang oferujący ransomware-as-a-service. Jego filie — kontrahenci pracujący dla gangu — włamują się do sieci ofiar i wdrażają złośliwe oprogramowanie opracowane przez liderów ALPHV/BlackCat, którzy pobierają część zysków z okupów pobranych od ofiar, aby odzyskać ich pliki.

Wiedza o tym, że naruszenie bezpieczeństwa zostało spowodowane przez gang atakujący za pomocą oprogramowania ransomware, zmieniła równanie ataku z włamania, jakie stosują rządy — czasami w celu wysłania wiadomości do innego rządu zamiast publikowania prywatnych informacji milionów ludzi — na naruszenie bezpieczeństwa spowodowane przez cyberprzestępców nastawionych na zysk, którzy prawdopodobnie zastosują zupełnie inny plan działania, aby zdobyć pieniądze.

3-5 marca 2024 r.

UnitedHealth płaci hakerom okup w wysokości 22 milionów dolarów, po czym ci znikają

Na początku marca gang ransomware ALPHV zniknął. Strona wycieku gangu w darknecie, która kilka tygodni wcześniej wzięła na siebie odpowiedzialność za cyberatak, została zastąpiona zawiadomieniem o zajęciu, w którym twierdzono, że brytyjskie i amerykańskie organy ścigania zamknęły stronę gangu. Jednak zarówno FBI, jak i brytyjskie władze zaprzeczyły, jakoby gang ransomware próbował zlikwidować, jak próbowali to zrobić kilka miesięcy wcześniej. Wszystkie znaki wskazywały na to, że ALPHV uciekł z okupem i wykonał „oszustwo wyjściowe”.

W ogłoszeniu filia ALPHV, która przeprowadziła atak na Change Healthcare, stwierdziła, że ​​kierownictwo ALPHV ukradło 22 miliony dolarów zapłaconych jako okup i dołączyła link do pojedyncza transakcja bitcoinowa 3 marca jako dowód ich roszczenia. Jednak pomimo utraty części okupu, podmiot stowarzyszony stwierdził, że skradzione dane „nadal są z nami”. UnitedHealth zapłaciło okup hakerom, którzy zostawili dane i zniknęli.

13 marca 2024 r.

Powszechne zakłócenia w amerykańskiej opiece zdrowotnej w związku z obawami o naruszenie danych

Tymczasem, po kilku tygodniach cyberataku, przerwy w dostawie prądu wciąż trwały, a wiele osób nie mogło zrealizować swoich recept lub musiało płacić gotówką z własnej kieszeni. Dostawca ubezpieczeń zdrowotnych dla wojska TriCare powiedział, że „wszystkie apteki wojskowe na całym świecie” również zostały dotknięte.

Amerykańskie Stowarzyszenie Medyczne było mówiąc, że było mało informacji z UnitedHealth i Change Healthcare na temat trwających przerw w dostawach prądu, które spowodowały ogromne zakłócenia, mające wpływ na cały sektor opieki zdrowotnej.

Do 13 marca Change Healthcare otrzymało „bezpieczną” kopię skradzionych danych, za które zaledwie kilka dni wcześniej zapłaciło 22 miliony dolarów. Pozwoliło to Change rozpocząć proces przeglądania zbioru danych w celu ustalenia, czyje informacje zostały skradzione w cyberataku, w celu powiadomienia jak największej liczby osób dotkniętych atakiem.

28 marca 2024 r.

Rząd USA zwiększa nagrodę do 10 milionów dolarów za informacje prowadzące do schwytania ALPHV

Pod koniec marca rząd USA poinformował o zwiększeniu nagród za informacje na temat najważniejszych osób zajmujących stanowiska kierownicze w ALPHV/BlackCat i organizacjach powiązanych.

Oferując 10 milionów dolarów każdemu, kto może zidentyfikować lub zlokalizować osoby stojące za gangiem, rząd USA najwyraźniej miał nadzieję, że jeden z członków gangu zwróci się przeciwko swoim byłym przywódcom. Można to również postrzegać jako uświadomienie sobie przez USA zagrożenia związanego z potencjalną publikacją online znacznej liczby informacji o zdrowiu Amerykanów.

15 kwietnia 2024 r.

Kontrahent tworzy nowy gang okupowy i publikuje skradzione dane medyczne

A potem były dwa — okupy, to znaczy. W połowie kwietnia poszkodowany partner założył nową grupę wymuszeń o nazwie RansomHub i ponieważ nadal miał dane, które ukradł Change Healthcare, zażądał drugiego okupu od UnitedHealth. Robiąc to, RansomHub opublikował część skradzionych plików zawierających to, co wydawało się prywatną i poufną dokumentacją medyczną, jako dowód swojego zagrożenia.

Gangi ransomware nie tylko szyfrują pliki; kradną również jak najwięcej danych i grożą opublikowaniem plików, jeśli okup nie zostanie zapłacony. Jest to znane jako „podwójne wymuszenie”. W niektórych przypadkach, gdy ofiara płaci, gang ransomware może ponownie wymusić okup od ofiary — lub w innych przypadkach wymusić okup od klientów ofiary, co jest znane jako „potrójne wymuszenie”.

Teraz, gdy UnitedHealth było gotowe zapłacić jeden okup, istniało ryzyko, że gigant opieki zdrowotnej zostanie ponownie wyłudzony. Dlatego organy ścigania od dawna opowiadają się przeciwko płaceniu okupu, który pozwala przestępcom czerpać zyski z cyberataków.

22 kwietnia 2024 r.

UnitedHealth twierdzi, że hakerzy ransomware ukradli dane dotyczące zdrowia „znacznej części ludzi w Ameryce”

Po raz pierwszy UnitedHealth potwierdziło 22 kwietnia — ponad dwa miesiące po rozpoczęciu ataku ransomware — że doszło do naruszenia danych i że prawdopodobnie dotyczy ono „znacznej części ludzi w Ameryce”, nie podając, ile milionów ludzi to obejmuje. UnitedHealth potwierdziło również, że zapłaciło okup za dane, ale nie podało, ile okupów ostatecznie zapłaciło.

Firma poinformowała, że ​​skradzione dane obejmują niezwykle poufne informacje, w tym dokumentację medyczną, informacje dotyczące stanu zdrowia, diagnozy, leki, wyniki badań, plany obrazowania oraz opieki i leczenia, a także inne dane osobowe.

Biorąc pod uwagę, że Change Healthcare przetwarza dane dotyczące około jednej trzeciej wszystkich osób mieszkających w Stanach Zjednoczonych, naruszenie danych prawdopodobnie dotknie co najmniej 100 milionów osób. Kiedy skontaktował się z nim TechCrunch, rzecznik UnitedHealth nie zakwestionował prawdopodobnej liczby dotkniętych incydentem, ale powiedział, że przegląd danych firmy jest w toku.

1 maja 2024 r.

Dyrektor naczelny UnitedHealth Group zeznaje, że Change nie stosował podstawowych zabezpieczeń cybernetycznych

Nie powinno więc dziwić, że gdy w Twojej firmie dochodzi do jednego z największych naruszeń bezpieczeństwa danych w ostatniej historii, jej dyrektor generalny musi zostać wezwany do złożenia zeznań przed ustawodawcami.

Tak stało się w przypadku Andrew Witty’ego, dyrektora generalnego UnitedHealth Group (UHG), który na Kapitolu przyznał, że hakerzy włamali się do systemów Change Healthcare, korzystając z jednego hasła ustawionego na koncie użytkownika, które nie było chronione uwierzytelnianiem wieloskładnikowym, podstawową funkcją bezpieczeństwa, która może zapobiec atakom polegającym na ponownym wykorzystaniu hasła, wymagając wysłania drugiego kodu na telefon właściciela konta.

Kluczowym przesłaniem było to, że jeden z największych naruszeń danych w historii USA był całkowicie możliwy do uniknięcia. Witty powiedział, że naruszenie danych prawdopodobnie dotknie około jednej trzeciej osób mieszkających w Ameryce — zgodnie z wcześniejszymi szacunkami firmy, że naruszenie dotyczy około tylu osób, dla których Change Healthcare przetwarza roszczenia dotyczące opieki zdrowotnej.

20 czerwca 2024 r.

UHG zaczyna informować dotknięte szpitale i dostawców usług medycznych, jakie dane zostały skradzione

Firma Change Healthcare czekała do 20 czerwca, zanim zaczęła formalnie powiadamiać osoby poszkodowane o kradzieży ich danych, zgodnie z wymogami prawa powszechnie znanego jako HIPAA. Najprawdopodobniej opóźnienie nastąpiło częściowo ze względu na rozmiar skradzionego zbioru danych.

Firma opublikował zawiadomienie ujawniające naruszenie danych i powiedział, że zacznie powiadamiać osoby, które zidentyfikował w „bezpiecznej” kopii skradzionych danych. Ale Change powiedział, że „nie może dokładnie potwierdzić”, jakie dane zostały skradzione o każdej osobie i że informacje mogą się różnić w zależności od osoby. Change mówi, że zamieścił powiadomienie na swojej stronie internetowej, ponieważ „może nie mieć wystarczającej liczby adresów wszystkich osób dotkniętych tym problemem”.

Incydent był tak duży i skomplikowany, że Departament Zdrowia i Opieki Społecznej USA wkroczył i powiedział poszkodowani dostawcy usług opieki zdrowotnej, których pacjenci w ostatecznym rozrachunku ucierpieli z powodu naruszenia, mogą zwrócić się do UnitedHealth z prośbą o powiadomienie w ich imieniu poszkodowanych pacjentów. Jest to działanie mające na celu odciążenie mniejszych dostawców, których finanse ucierpiały z powodu trwającej przerwy w działaniu usługi.

29 lipca 2024 r.

Change Healthcare rozpoczyna powiadamianie listownie osób, u których stwierdzono nieprawidłowości

Gigant technologii medycznych potwierdził pod koniec czerwca, że ​​zacznie powiadamiać osoby, których dane medyczne zostały skradzione w ataku ransomware, na bieżąco. Proces ten rozpoczął się pod koniec lipca.

Listy wysyłane do osób dotkniętych atakiem będą najprawdopodobniej pochodzić od Change Healthcare, jeśli nie od konkretnego dostawcy usług opieki zdrowotnej, którego dotyczył atak hakerski w Change. List potwierdza, jakie dane zostały skradzione, w tym dane medyczne i informacje o ubezpieczeniu zdrowotnym, a także informacje o roszczeniach i płatnościach, które według Change obejmują informacje finansowe i bankowe.