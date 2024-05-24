Según el testimonio de Witty, la banda de ransomware BlackCat utilizó credenciales comprometidas para acceder remotamente a un portal de Change Healthcare Citrix, que permitía el acceso remoto al escritorio, el 12 de febrero. El portal no utilizaba la autenticación multifactor. A continuación, BlackCat implementó el ransomware el 21 de febrero dentro de los entornos de tecnología de la información de Change Healthcare, que cifró todos los sistemas de Change para que fueran inaccesibles. Como los líderes no conocían el punto de entrada, cortaron la conectividad con el centro de datos de Change, lo que impidió que el malware se propagara fuera del entorno de Change a otros sistemas de UnitedHealth Group.

El 2024 X-Force Threat Intelligence Index identificó el ransomware BlackCat, que se originó en noviembre de 2021, como una de las principales familias de ransomware. Ataques pasados de BlackCat incluyen los sectores de sanidad, gobierno, educación, fabricación y hostelería. Sin embargo, la banda ha estado implicada en varios ataques en los que se filtraron datos médicos y financieros confidenciales. Al utilizar el lenguaje de programación Rust, BlackCat puede personalizar el ransomware de manera que sea muy difícil de detectar y analizar. Además, BlackCat a menudo intenta esquemas de doble extorsión como parte de sus ataques.

El ataque de ransomware a Change Healthcare comprendía archivos que contenían información médica protegida (PHI) e información de identificación personal (PII). Witty afirmó que la brecha podría afectar a una parte considerable de la población estadounidense. No obstante, señaló que, en el momento en que prestó declaración, los historiales médicos completos no parecían estar entre los datos filtrados.