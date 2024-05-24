Laut Wittys Aussage nutzte die Ransomware-Gruppe BlackCat am 12. Februar kompromittierte Anmeldedaten, um sich aus der Ferne Zugang zu einem Citrix-Portal von Change Healthcare zu verschaffen, das den Fernzugriff auf Desktops ermöglichte. Das Portal nutzte keine Multi-Faktor-Authentifizierung. Am 21. Februar stellte BlackCat dann Ransomware in den IT-Umgebungen von Change Healthcare bereit, wodurch alle Systeme von Change verschlüsselt und unzugänglich gemacht wurden. Da die Verantwortlichen den Zugriffspunkt nicht kannten, trennten sie die Verbindung zum Rechenzentrum von Change, wodurch verhindert wurde, dass sich die Malware außerhalb der Umgebung von Change auf andere Systeme der UnitedHealth Group ausbreitete.

Der 2024 X-Force Threat Intelligence Index identifizierte die Ransomware BlackCat, die im November 2021 entstand, als eine der führenden Ransomware-Familien. Frühere BlackCat-Angriffe betrafen unter anderem die Bereiche Gesundheitswesen, Regierung, Bildung, Fertigung und Gastgewerbe. Die Gruppe war jedoch an mehreren Angriffen beteiligt, bei denen sensible medizinische und finanzielle Daten offengelegt wurden. Durch die Verwendung der Programmiersprache Rust kann BlackCat Ransomware so anpassen, dass sie sehr schwer zu erkennen und zu analysieren ist. Darüber hinaus versucht BlackCat im Rahmen seiner Angriffe häufig, doppelte Erpressungen durchzuführen.

Der Ransomware-Angriff auf Change Healthcare betraf Dateien, die geschützte Gesundheitsinformaionen (PHI) und personenbezogene Daten (PII) enthielten. Witty erklärte, dass ein erheblicher Teil der amerikanischen Bevölkerung von dieser Datenschutzverletzung betroffen sein könnte. Er teilte jedoch mit, dass zum Zeitpunkt seiner Aussage keine Arztberichte oder vollständigen Krankengeschichten in den Daten enthalten zu sein schienen, die von der Datenschutzverletzung betroffen waren.