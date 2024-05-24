Andrew Witty, CEO der UnitedHealth Group, musste am 1. Mai vor dem Kongress Fragen zu dem Ransomware-Angriff auf Change Healthcare beantworten, der sich im Februar ereignet hatte. Während der Anhörung gab er zu, dass sein Unternehmen die von den Angreifern geforderte Lösegeldzahlung geleistet hatte. Es wurde berichtet, dass das Unternehmen BlackCat, auch bekannt als ALPHV, eine Zahlung in Höhe von 22 Millionen US-Dollar über Bitcoin erhalten hatte.
Obwohl die Lösegeldzahlung geleistet wurde, teilte Witty mit, dass Change Healthcare seine Daten nicht zurückerhalten habe. Das kommt bei Ransomware-Angriffen häufig vor und ist einer der vielen Gründe, warum zahlreiche Experten, darunter auch IBM, davon abraten, Ransomware zu zahlen. Mit geeigneten Backups und Datenwiederherstellungsprozessen können Unternehmen ihre Daten schnell wiederherstellen und Betriebsunterbrechungen reduzieren. Im Jahr 2023 erreichten Lösegeldzahlungen wie die von Change Healthcare einen historischen Höchststand von 1,1 MilliardenUS-Dollar.
Laut Wittys Aussage nutzte die Ransomware-Gruppe BlackCat am 12. Februar kompromittierte Anmeldedaten, um sich aus der Ferne Zugang zu einem Citrix-Portal von Change Healthcare zu verschaffen, das den Fernzugriff auf Desktops ermöglichte. Das Portal nutzte keine Multi-Faktor-Authentifizierung. Am 21. Februar stellte BlackCat dann Ransomware in den IT-Umgebungen von Change Healthcare bereit, wodurch alle Systeme von Change verschlüsselt und unzugänglich gemacht wurden. Da die Verantwortlichen den Zugriffspunkt nicht kannten, trennten sie die Verbindung zum Rechenzentrum von Change, wodurch verhindert wurde, dass sich die Malware außerhalb der Umgebung von Change auf andere Systeme der UnitedHealth Group ausbreitete.
Der 2024 X-Force Threat Intelligence Index identifizierte die Ransomware BlackCat, die im November 2021 entstand, als eine der führenden Ransomware-Familien. Frühere BlackCat-Angriffe betrafen unter anderem die Bereiche Gesundheitswesen, Regierung, Bildung, Fertigung und Gastgewerbe. Die Gruppe war jedoch an mehreren Angriffen beteiligt, bei denen sensible medizinische und finanzielle Daten offengelegt wurden. Durch die Verwendung der Programmiersprache Rust kann BlackCat Ransomware so anpassen, dass sie sehr schwer zu erkennen und zu analysieren ist. Darüber hinaus versucht BlackCat im Rahmen seiner Angriffe häufig, doppelte Erpressungen durchzuführen.
Der Ransomware-Angriff auf Change Healthcare betraf Dateien, die geschützte Gesundheitsinformaionen (PHI) und personenbezogene Daten (PII) enthielten. Witty erklärte, dass ein erheblicher Teil der amerikanischen Bevölkerung von dieser Datenschutzverletzung betroffen sein könnte. Er teilte jedoch mit, dass zum Zeitpunkt seiner Aussage keine Arztberichte oder vollständigen Krankengeschichten in den Daten enthalten zu sein schienen, die von der Datenschutzverletzung betroffen waren.
Eine Umfrage der American Medical Association ergab, dass vier von fünf Klinikern aufgrund der weitreichenden Auswirkungen der Sicherheitsverletzung bei Change Healthcare Umsatzeinbußen hinnehmen mussten, wobei 77 % mit Dienstunterbrechungen konfrontiert waren. Die Umfrage ergab außerdem, dass die Mehrheit der Praxisinhaber (55 %) aufgrund der durch die Situation entstandenen Abrechnungskrise persönliche Mittel zur Begleichung von Rechnungen und Gehältern einsetzte. Zu den weiteren Störungen zählte die eingeschränkte Möglichkeit, Rezepte und medizinische Behandlungen zu genehmigen.
Change Healthcare hat ebenfalls gemeldet, dass es durch den Angriff 872 Millionen US-Dollar verloren hat und davon ausgeht, dass sich die Verluste auf über 1 Milliarde US-Dollar erhöhen werden. Angesichts der derzeit 24 gegen Change Healthcare eingereichten Klagen beantragt das Unternehmen, die Klagen zu einer Sammelklage zusammenzufassen.
Witty teilte dem Kongress mit, dass er persönlich die Entscheidung getroffen habe, die Ransomware-Zahlung zu leisten. Er sagte, es sei eine der schwierigsten Entscheidungen gewesen, die er je getroffen habe, und eine, die er niemandem wünschen würde. Auch nach der Lösegeldzahlung drohten die Bedrohungsakteure weiterhin, die Daten im Dark Web zu veröffentlichen. Bis heute sind noch nicht alle Daten identifiziert und wiederhergestellt worden.
Die Wiederherstellung wurde zusätzlich erschwert, da RansomHub, ein Partner von BlackCat, zumindest einen Teil der gestohlenen Daten veröffentlichte und weitere Erpressungsversuche unternahm. RansomHub stellte Screenshots der veröffentlichten Daten dem Höchstbietenden im Dark Web zur Verfügung. Bei großen Datenverstößen, wie im Fall von Change Healthcare, sind doppelte Ransomware-Versuche keine Seltenheit und einer der Gründe, warum viele vor der Zahlung des Lösegelds warnen.
Während Change Healthcare den Wiederherstellungsprozess durchläuft, teilte Witty dem Kongress mit, dass sie weiterhin daran arbeiten, die von der Datenschutzverletzung betroffenen Personen zu ermitteln und Benachrichtigungen zu versenden. Viele Unternehmen und Gruppen im Gesundheitswesen sind jedoch der Ansicht, dass dieser Prozess beschleunigt werden sollte. Am 8. Mai verfasste die American Hospital Association im Namen ihrer Mitglieder ein formelles Schreiben, in dem sie ein formelles Benachrichtigungsverfahren forderte.
„Es ist jedoch wichtig, dass UHG das Department of Health and Human Services Office for Civil Rights (OCR) sowie die staatlichen Aufsichtsbehörden offiziell darüber informiert, dass UHG allein für alle gesetzlich vorgeschriebenen Benachrichtigungen über Verstöße verantwortlich ist, und ihnen einen Zeitplan für diese Benachrichtigungen vorlegt“, schrieb die AHA.
Da sich die Situation weiterentwickelt, insbesondere die Auswirkungen der Anhörung im Kongress, werden die Folgen dieses umfangreichen und weitreichenden Verstoßes weiterhin sichtbar werden.
