Firma twierdzi, że za cyberatakiem na oddział UnitedHealth stoi grupa ransomware Blackcat

Traderzy pracują na stanowisku, gdzie UnitedHealth Group jest przedmiotem obrotu na nowojorskiej giełdzie. Brendan McDermid/Reuters

Kluczowe informacje: 

• Change Healthcare potwierdziło w czwartek, że grupa ransomware Blackcat stoi za trwającym atakiem cybernetycznym, który wpływa na jej systemy od zeszłego tygodnia. 
• Atak spowodował rozległe zakłócenia w funkcjonowaniu aptek i systemów opieki zdrowotnej w całych Stanach Zjednoczonych. 
• „Aktywnie pracujemy nad zrozumieniem wpływu na członków, pacjentów i klientów”- powiedział Change Healthcare, który jest własnością UnitedHealth. 

„Nasi eksperci pracują nad rozwiązaniem tej sprawy i ściśle współpracujemy z organami ścigania i wiodącymi konsultantami zewnętrznymi”- poinformowała Change Healthcare w czwartkowym oświadczeniu CNBC. „Aktywnie pracujemy nad zrozumieniem wpływu na członków, pacjentów i klientów”. Firma poinformowała, że współpracuje z Mandiant, który jest własnością Google i dostawcą oprogramowania cyberbezpieczeństwa Palo Alto Networks. W usuniętym poście w Darknecie, Blackcat powiedział w środę, że stał za atakiem na systemy Change Healthcare. Grupa twierdzi, że udało jej się wyodrębnić sześć terabajtów danych, w tym informacje takie jak dokumentacja medyczna, dokumentacja ubezpieczeniowa i informacje o płatnościach. 

Firma macierzysta Change, UnitedHealth Group oświadczyła, że odkryła, iż cyberzagrożenie naruszyło część sieci informatycznej jednostki 21 lutego, zgodnie z wnioskiem złożonym w Komisji Papierów Wartościowych i Giełd. UnitedHealth odizolował i odłączył dotknięte systemy „natychmiast po wykryciu zagrożenia”, jak podano w zgłoszeniu, ale nie ujawnił charakteru ataku ani dokładnego czasu jego wystąpienia. Blackcat, zwany także Noberus i ALPHV, kradnie poufne dane z instytucji i grozi ich opublikowaniem, chyba że zostanie zapłacony okup, zgodnie z grudniowym komunikatem Departamentu Sprawiedliwości USA. Blackcat naraził na szwank sieci komputerowe w Stanach Zjednoczonych i na całym świecie, powodując straty sięgające setek milionów dolarów.  

Change Healthcare oferuje narzędzia do zarządzania płatnościami i cyklem przychodów, które ułatwiają transakcje, takie jak płatności refundacyjne. W 2022 roku firma połączyła się z dostawcą opieki zdrowotnej Optum, który obsługuje ponad 100 milionów pacjentów w USA i jest własnością UnitedHealth, największej w kraju firmy zajmującej się opieką zdrowotną pod względem kapitalizacji rynkowej. Brett Callow, analityk zagrożeń w firmie zajmującej się cyberbezpieczeństwem Emsisoft, powiedział, że grupy ransomware często publikują takie posty, próbując przyciągnąć ofiary do stołu negocjacyjnego. Callow, który specjalizuje się w oprogramowaniu ransomware, udostępnił zrzut ekranu usuniętego postu Blackcat w serwisie społecznościowym X w środę. 

Wspomniał, że grupy ransomware często wyolbrzymiają ilość skradzionych danych, więc twierdzenia Blackcat należy traktować sceptycznie. Dodał, że organizacja może potrzebować tygodni, aby dokładnie określić, jakie informacje zostały skradzione, a grupy ransomware często wykorzystują okres niepewności na swoją korzyść. „Cyberprzestępcy nie będą mówić prawdy”- powiedział Callow w wywiadzie dla CNBC. UnitedHealth powiedział w swoim zgłoszeniu do SEC, że podejrzewa, że za atakiem stał podmiot powiązany z państwem narodowym, ale Callow powiedział, że Blackcat jest operacją cyberprzestępczą nastawioną na zysk. Nazwał tę rozbieżność „osobliwą”, ale powiedział, że naruszenie może być czymś więcej, o czym nie wie. Ataki typu ransomware mogą być szczególnie niebezpieczne w sektorze opieki zdrowotnej, ponieważ mogą powodować natychmiastowe szkody dla fizycznego bezpieczeństwa pacjentów, powiedział John Riggi, krajowy doradca ds. cyberbezpieczeństwa i ryzyka w American Hospital Association.  

Kiedy systemy przestają działać, technologie diagnostyczne, takie jak tomografy komputerowe nie pracują prawidłowo, a karetki pogotowia przewożące pacjentów są często przekierowywane, co może opóźnić opiekę ratującą życie, powiedział. „Change, są ofiarą”- powiedział Riggi w rozmowie z CNBC. „Ostatecznie jednak nie był to atak tylko na nich, był to atak na cały sektor opieki zdrowotnej”. Systemy Change Healthcare nie działają od dziewięciu dni z rzędu i nie jest jasne, kiedy powrócą do trybu online.