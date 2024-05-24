Selon le témoignage de M. Witty, le 12 février, BlackCat a utilisé des identifiants compromis pour accéder à distance à un portail Citrix de Change Healthcare utilisé dans le cadre du télétravail. Le portail n’utilisait pas d’authentification multifactorielle. BlackCat a ensuite déployé un ransomware le 21 février à l’intérieur des environnements de technologie de l’information de Change Healthcare, qui chiffraient tous les systèmes de Change afin d’en interdire l’accès. Parce que les responsables de l’entreprise ne connaissaient pas le point d’entrée, ils ont coupé la connexion avec le centre de données de Change, ce qui a empêché le logiciel malveillant de se propager en dehors de l’environnement de Change vers d’autres systèmes de UnitedHealth Group.

Le X-Force Threat Intelligence Index 2024 a identifié le ransomware BlackCat, apparu en novembre 2021, comme l’une des principales familles de ransomwares. Les attaques de BlackCat concernent les secteurs de la santé, du gouvernement, de l’éducation, de l’industrie manufacturière et de l’hôtellerie. Cependant, ce gang a été impliqué dans plusieurs attaques ayant entraîné des fuites de données médicales et financières sensibles. En utilisant le langage de programmation Rust, BlackCat peut personnaliser les ransomwares de manière à les rendre très difficiles à détecter et à analyser. De plus, BlackCat tente souvent une double extorsion dans le cadre de ses attaques.

L’attaque de ransomware contre Change Healthcare a porté sur des fichiers contenant des données de santé protégées (PHI) et des données personnelles (PII). M. Witty a déclaré que cette violation pourrait impliquer une proportion importante de la population américaine. Il a toutefois précisé qu’au moment de son témoignage, les dossiers des médecins ou les antécédents médicaux complets ne semblaient pas figurer dans les données qui ont fait l’objet de la violation.