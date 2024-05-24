Andrew Witty, PDG de UnitedHealth Group, s’est retrouvé à répondre devant le Congrès le 1er mai concernant l’attaque par ransomware contre Change Healthcare survenue en février. Pendant l’audience, il a admis que son organisation avait payé la demande de ransomware de l’attaquant. Il a été rapporté que les pirates informatiques BlackCat, également connue sous le nom d’ALPHV, avaient reçu un paiement de 22 millions de dollars sous forme de bitcoins.
Bien qu’ils aient payé le ransomware, M. Witty a indiqué que Change Healthcare n’avait pas récupéré ses données. C’est un phénomène courant lors des attaques par ransomware, et c’est l’une des nombreuses raisons pour lesquelles de nombreux experts, dont IBM, déconseillent de payer la rançon. Avec des sauvegardes et des processus de récupération de données appropriés, les organisations peuvent rapidement restaurer leurs propres données et réduire les interruptions d’activité. En 2023, les paiements de ransomware comme celui effectué par Change Healthcare ont atteint un record historique avec de 1,1 milliard de dollars.
Selon le témoignage de M. Witty, le 12 février, BlackCat a utilisé des identifiants compromis pour accéder à distance à un portail Citrix de Change Healthcare utilisé dans le cadre du télétravail. Le portail n’utilisait pas d’authentification multifactorielle. BlackCat a ensuite déployé un ransomware le 21 février à l’intérieur des environnements de technologie de l’information de Change Healthcare, qui chiffraient tous les systèmes de Change afin d’en interdire l’accès. Parce que les responsables de l’entreprise ne connaissaient pas le point d’entrée, ils ont coupé la connexion avec le centre de données de Change, ce qui a empêché le logiciel malveillant de se propager en dehors de l’environnement de Change vers d’autres systèmes de UnitedHealth Group.
Le X-Force Threat Intelligence Index 2024 a identifié le ransomware BlackCat, apparu en novembre 2021, comme l’une des principales familles de ransomwares. Les attaques de BlackCat concernent les secteurs de la santé, du gouvernement, de l’éducation, de l’industrie manufacturière et de l’hôtellerie. Cependant, ce gang a été impliqué dans plusieurs attaques ayant entraîné des fuites de données médicales et financières sensibles. En utilisant le langage de programmation Rust, BlackCat peut personnaliser les ransomwares de manière à les rendre très difficiles à détecter et à analyser. De plus, BlackCat tente souvent une double extorsion dans le cadre de ses attaques.
L’attaque de ransomware contre Change Healthcare a porté sur des fichiers contenant des données de santé protégées (PHI) et des données personnelles (PII). M. Witty a déclaré que cette violation pourrait impliquer une proportion importante de la population américaine. Il a toutefois précisé qu’au moment de son témoignage, les dossiers des médecins ou les antécédents médicaux complets ne semblaient pas figurer dans les données qui ont fait l’objet de la violation.
Une enquête de l’American Medical Association a révélé que quatre cliniciens sur cinq ont perdu des revenus en raison de la nature généralisée de la violation de Change Healthcare, 77 % ayant subi des interruptions de service. L’enquête a également révélé que la majorité des propriétaires de cabinets (55 %) ont utilisé des fonds personnels pour payer des factures et leurs salaires en raison de la crise de facturation que la situation a créée. Parmi les autres perturbations, citons la capacité limitée à approuver les prescriptions et les procédures médicales.
Change Healthcare a également rapporté avoir perdu 872 millions de dollars à cause de l’attaque et prévoit que ses pertes dépasseront 1 milliard de dollars américains. Avec actuellement 24 plaintes au niveau judiciaire contre Change Healthcare, l’organisation demande à regrouper les plaintes dans le cadre d’un recours collectif.
M. Witty a déclaré au Congrès qu’il avait personnellement pris la décision de payer le ransomware. Il a ajouté que c’était l’une des décisions les plus difficiles qu’il ait jamais prises et qu’il ne souhaitait à personne de se trouver face à ce type de situation. Après le paiement du ransomware, les acteurs de la menace menaçaient toujours de partager les données sur le Dark Web. Aucune donnée n’a été identifiée ni récupérée à ce jour.
Pour compliquer encore la reprise, RansomHub, une filiale de BlackCat, a divulgué au moins une partie des données volées et a tenté une extorsion supplémentaire. RansomHub a transmis des captures d’écran des données divulguées au plus offrant sur le Dark Web. Lors des violations de grande ampleur, comme celle de Change Healthcare, les doubles tentatives de ransomware ne sont pas rares et font partie des raisons pour lesquelles de nombreuses personnes mettent en garde contre le paiement de la rançon.
Alors que Change Healthcare état en train de se pencher sur le processus de récupération, M. Witty a déclaré au Congrès qu’ils travaillent toujours à déterminer qui a été touché par la violation pour leur envoyer des notifications. Cependant, de nombreux organismes et groupes de santé estiment que le processus devrait être plus rapide. Le 8 mai, l’American Hospital Association an envoyé un courrier officiel au nom de ses membres réclamant un notification officielle.
« Cependant, il est important que l’UHG informe officiellement le ministère de la Santé et des Services sociaux (OCR) et les régulateurs de l’État que l’UHG sera seul responsable de toutes les notifications de violation requises en vertu de la loi et lui fournira un délai dans lequel ces notifications des notifications devront être émises », ajoute l’AHA.
Au fur et à mesure que la situation continue d’évoluer, en particulier en raison des conséquences de l’audience devant le Congrès, les effets de cette violation importante et généralisée continueront de se faire sentir.
