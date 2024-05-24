O CEO do UnitedHealth Group, Andrew Witty, compareceu perante o Congresso no dia 1º de maio para responder a perguntas sobre o ataque de ransomware à Change Healthcare ocorrido em fevereiro. Durante a audiência, ele admitiu que sua organização pagou o resgate exigido pelo invasor. Foi noticiado que a organização hacker BlackCat, também conhecida como ALPHV, recebeu um pagamento de 22 milhões de dólares via Bitcoin.
Apesar de terem efetuado o pagamento do resgate, Witty informou que a Change Healthcare não recuperou seus dados. Essa é uma ocorrência comum em ataques de ransomware e é um dos muitos motivos pelos quais muitos especialistas, inclusive a IBM, não recomendam o pagamento de resgates. Com backups e processos adequados de recuperação de dados, as organizações podem restaurar os próprios dados com rapidez e reduzir as interrupções nos negócios. Em 2023, os pagamentos de resgate, como esse feito pela Change Healthcare, atingiram o recorde histórico de USD 1,1 bilhão.
De acordo com o depoimento de Witty, a gangue de ransomware BlackCat usou credenciais comprometidas para acessar remotamente o portal Citrix da Change Healthcare, que permitia o acesso remoto à área de trabalho, em 12 de fevereiro. O portal não utilizava autenticação multifatorial. A BlackCat então implementou um ransomware em 21 de fevereiro dentro dos ambientes de tecnologia da informação da Change Healthcare, que criptografou todos os sistemas para que ficassem inacessíveis. Como os líderes não conheciam o ponto de entrada, eles cortaram a conectividade com o data center da Change, o que impediu que o malware se espalhasse fora do ambiente para outros sistemas do UnitedHealth Group.
O X-Force Threat Intelligence Index de 2024 identificou o ransomware BlackCat, que teve origem em novembro de 2021, como uma das principais famílias de ransomware. Ataques anteriores do BlackCat incluem os setores da saúde, governo, educação, manufatura e hotelaria. No entanto, a gangue esteve envolvida em vários ataques onde dados médicos e financeiros confidenciais vazaram. Ao utilizar a linguagem de programação Rust, o BlackCat consegue personalizar o ransomware de maneiras que tornam sua detecção e análise muito difíceis. Além disso, o BlackCat frequentemente tenta esquemas de extorsão dupla como parte de seus ataques.
O ataque de ransomware à Change Healthcare era composto por arquivos contendo informações de saúde protegidas (PHI) e informações de identificação pessoal (PII). Witty disse que a violação poderia envolver uma proporção substancial da população americana. No entanto, ele compartilhou, no momento de seu depoimento, que os prontuários médicos ou o histórico médico completo não pareciam estar nos dados violados.
Uma pesquisa da American Medical Association revelou que quatro em cada cinco médicos perderam receita devido à abrangência da violação de dados da Change Healthcare, com 77% deles relatando interrupções nos serviços. A pesquisa também revelou que a maioria dos proprietários de clínicas (55%) utilizou recursos próprios para pagar contas e folha de pagamento devido à crise de faturamento gerada pela situação. Outras interrupções incluíam a capacidade limitada de aprovar prescrições e procedimentos médicos.
A Change Healthcare também relatou que perdeu USD 872 milhões no ataque e espera que suas perdas subam para mais de USD 1 bilhão. Com atualmente 24 processos contra a Change Healthcare, a organização está pedindo a consolidação das reivindicações em uma ação coletiva.
Witty declarou ao Congresso que tomou pessoalmente a decisão de efetuar o pagamento do resgate. Ele disse que foi uma das decisões mais difíceis que já tomou e que não desejaria isso a ninguém. Após o pagamento ter sido realizado, os agentes da ameaça ainda ameaçaram compartilhar os dados na dark web. Nem todos os dados foram identificados e recuperados.
Para complicar ainda mais a recuperação, uma empresa afiliada à BlackCat, a RansomHub, vazou pelo menos parte dos dados roubados e tentou realizar novas extorsões. A RansomHub compartilhou capturas de tela dos dados vazados para quem desse o maior lance na dark web. Em grandes violações, como a da Change Healthcare, tentativas duplas de ransomware não são incomuns e fazem parte do motivo pelo qual muitos alertam contra o pagamento do resgate.
Enquanto a Change Healthcare está trabalhando no processo de recuperação, Witty disse ao Congresso que eles ainda estão trabalhando para determinar quem foi afetado pela violação e emitir notificações. No entanto, muitas organizações e grupos da área da saúde consideram que o processo deveria ser acelerado. Em 8 de maio, a American Hospital Association escreveu uma carta formal em nome de seus membros solicitando um processo de notificação formal.
“É importante, no entanto, que a UHG informe oficialmente o Department of Health and Human Services Office for Civil Rights (OCR), e os órgãos reguladores estaduais de que a UHG será a única responsável por todas as notificações de violação exigidas por lei e forneça a eles um cronograma de quando essas notificações ocorrerão”, escreveu a AHA.
À medida que a situação continua evoluindo, especialmente as ramificações da audiência no Congresso, os efeitos dessa grande e generalizada violação continuarão a se desenrolar.
Para saber como o IBM X-Force pode ajudar você em qualquer assunto relacionado à cibersegurança, incluindo resposta a incidentes, inteligência de ameaças ou serviços de segurança ofensiva, agende uma reunião aqui.
Se você estiver enfrentando problemas de cibersegurança ou um incidente, entre em contato com o X-Force para obter ajuda: linha direta dos EUA 1-888-241-9812 | linha direta global (+001) 312-212-8034.