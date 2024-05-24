De acordo com o depoimento de Witty, a gangue de ransomware BlackCat usou credenciais comprometidas para acessar remotamente o portal Citrix da Change Healthcare, que permitia o acesso remoto à área de trabalho, em 12 de fevereiro. O portal não utilizava autenticação multifatorial. A BlackCat então implementou um ransomware em 21 de fevereiro dentro dos ambientes de tecnologia da informação da Change Healthcare, que criptografou todos os sistemas para que ficassem inacessíveis. Como os líderes não conheciam o ponto de entrada, eles cortaram a conectividade com o data center da Change, o que impediu que o malware se espalhasse fora do ambiente para outros sistemas do UnitedHealth Group.

O X-Force Threat Intelligence Index de 2024 identificou o ransomware BlackCat, que teve origem em novembro de 2021, como uma das principais famílias de ransomware. Ataques anteriores do BlackCat incluem os setores da saúde, governo, educação, manufatura e hotelaria. No entanto, a gangue esteve envolvida em vários ataques onde dados médicos e financeiros confidenciais vazaram. Ao utilizar a linguagem de programação Rust, o BlackCat consegue personalizar o ransomware de maneiras que tornam sua detecção e análise muito difíceis. Além disso, o BlackCat frequentemente tenta esquemas de extorsão dupla como parte de seus ataques.

O ataque de ransomware à Change Healthcare era composto por arquivos contendo informações de saúde protegidas (PHI) e informações de identificação pessoal (PII). Witty disse que a violação poderia envolver uma proporção substancial da população americana. No entanto, ele compartilhou, no momento de seu depoimento, que os prontuários médicos ou o histórico médico completo não pareciam estar nos dados violados.