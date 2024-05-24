El CEO de UnitedHealth Group, Andrew Witty, se encontró respondiendo preguntas ante el Congreso el 1 de mayo sobre el ataque de ransomware Change Healthcare que se produjo en febrero. Durante la audiencia, admitió que su organización pagó la solicitud de ransomware del atacante. Se ha informado de que la organización de hackers BlackCat, también conocida como ALPHV, recibió un pago de 22 millones de dólares via Bitcoin.
Aunque realizaron el pago del ransomware, Witty compartió que Change Healthcare no recuperó sus datos. Esto es algo común con los ataques de ransomware, y es una de las muchas razones por las que muchos expertos, incluido IBM, no recomiendan pagar ransomware. Con las copias de seguridad y los procesos de recuperación de datos adecuados, las organizaciones pueden restaurar rápidamente sus propios datos y reducir las interrupciones de la actividad empresarial. Durante 2023, los pagos por ransomware como el efectuado por Change Healthcare alcanzaron un máximo histórico de 1100 millones de dólares.
Según el testimonio de Witty, la banda de ransomware BlackCat utilizó credenciales comprometidas para acceder remotamente a un portal de Change Healthcare Citrix, que permitía el acceso remoto al escritorio, el 12 de febrero. El portal no utilizaba la autenticación multifactor. A continuación, BlackCat implementó el ransomware el 21 de febrero dentro de los entornos de tecnología de la información de Change Healthcare, que cifró todos los sistemas de Change para que fueran inaccesibles. Como los líderes no conocían el punto de entrada, cortaron la conectividad con el centro de datos de Change, lo que impidió que el malware se propagara fuera del entorno de Change a otros sistemas de UnitedHealth Group.
El 2024 X-Force Threat Intelligence Index identificó el ransomware BlackCat, que se originó en noviembre de 2021, como una de las principales familias de ransomware. Ataques pasados de BlackCat incluyen los sectores de sanidad, gobierno, educación, fabricación y hostelería. Sin embargo, la banda ha estado implicada en varios ataques en los que se filtraron datos médicos y financieros confidenciales. Al utilizar el lenguaje de programación Rust, BlackCat puede personalizar el ransomware de manera que sea muy difícil de detectar y analizar. Además, BlackCat a menudo intenta esquemas de doble extorsión como parte de sus ataques.
El ataque de ransomware a Change Healthcare comprendía archivos que contenían información médica protegida (PHI) e información de identificación personal (PII). Witty afirmó que la brecha podría afectar a una parte considerable de la población estadounidense. No obstante, señaló que, en el momento en que prestó declaración, los historiales médicos completos no parecían estar entre los datos filtrados.
Boletín del sector
Manténgase al día sobre las tendencias más importantes e intrigantes del sector en materia de IA, automatización, datos y mucho más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Una encuesta de la Asociación Médica Americana reveló que cuatro de cada cinco profesionales encuestados perdieron ingresos debido a la naturaleza generalizada de la brecha de Change Healthcare, con un 77 % experimentando interrupciones en el servicio. La encuesta también reveló que la mayoría de los propietarios de consultorios (55 %) utilizaron fondos personales para pagar facturas y nóminas debido a la crisis de facturación creada por la situación. Otras interrupciones incluyeron la capacidad limitada para aprobar recetas y procedimientos médicos.
Change Healthcare también ha informado que ha perdido 872 millones de dólares por el ataque y espera que sus pérdidas superen los 1000 millones de dólares. Con 24 demandas contra Change Healthcare, la organización pide consolidar las reclamaciones en una demanda colectiva.
Witty dijo al Congreso que él personalmente tomó la decisión de realizar el pago del ransomware. Dijo que era una de las decisiones más difíciles que había tomado y que no le desearía a nadie. Tras realizar el pago del ransomware, los actores de amenazas siguieron amenazando con compartir los datos en la dark web. Aún no se han identificado ni recuperado todos los datos.
Para complicar aún más la recuperación, un afiliado de BlackCat, RansomHub, filtró al menos algunos de los datos robados e intentó una extorsión adicional. RansomHub compartió capturas de pantalla de los datos filtrados al mejor postor en dark web. En grandes vulneraciones, como Change Healthcare, los intentos dobles de ransomware no son infrecuentes y parte de la razón por la que muchos advierten contra el pago del rescate.
Mientras Change Healthcare está trabajando en el proceso de recuperación, Witty dijo al Congreso que todavía están trabajando para determinar quién se vio afectado por la infracción y emitir notificaciones. Sin embargo, muchas organizaciones y grupos sanitarios consideran que el proceso debe acelerarse. El 8 de mayo, la Asociación Estadounidense de Hospitales escribió una carta formal en nombre de sus miembros solicitando un proceso de notificación formal.
"Sin embargo, es importante que UHG informe oficialmente a la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos y a los reguladores estatales que UHG será el único responsable de todas las notificaciones de incumplimiento requeridas por la ley y les proporcione un calendario para cuando esas notificaciones se producirán notificaciones", escribió la AHA.
A medida que la situación siga evolucionando, especialmente las ramificaciones de la audiencia en el Congreso, los efectos de esta vulneración amplia y generalizada seguirán desarrollándose.
Para saber cómo IBM X-Force puede ayudarle con cualquier asunto relacionado con la ciberseguridad, incluyendo respuesta a incidentes, inteligencia de amenazas o servicios de seguridad ofensiva, programe una reunión aquí.
Si está experimentando problemas de ciberseguridad o un incidente, contacte con X-Force para obtener auyuda: Línea directa de EE. UU. 1-888-241-9812 | Línea directa global (+001) 312-212-8034.