CEO UnitedHealth Group Andrew Witty mendapati dirinya menjawab pertanyaan di depan Kongres pada 1 Mei mengenai serangan ransomware Change Healthcare yang terjadi pada bulan Februari. Selama sidang dengar pendapat, dia mengakui bahwa organisasinya membayar permintaan ransomware penyerang. Telah dilaporkan bahwa organisasi peretas BlackCat, yang juga dikenal sebagai ALPHV, menerima pembayaran sebesar 22 juta USD melalui Bitcoin.
Meskipun mereka melakukan pembayaran ransomware, Witty berbagi bahwa Change Healthcare tidak mendapatkan datanya kembali. Ini adalah kejadian umum dengan serangan ransomware, dan itu adalah salah satu dari banyak alasan banyak pakar, termasuk IIBM®, tidak merekomendasikan membayar ransomware. Dengan proses cadangan dan pemulihan data yang tepat, organisasi dapat dengan cepat memulihkan data mereka sendiri dan mengurangi gangguan bisnis. Selama tahun 2023, pembayaran ransomware seperti yang dilakukan oleh Change Healthcare mencapai angka tertinggi sepanjang masa sebesar 1,1 miliar USD.
Menurut kesaksianWitty, geng ransomware BlackCat menggunakan kredensial yang disusupi untuk mengakses portal Change Healthcare Citrix dari jarak jauh, yang memungkinkan akses desktop jarak jauh, pada 12 Februari. Portal tersebut tidak menggunakan autentikasi multi-faktor. BlackCat kemudian menerapkan ransomware pada 21 Februari di dalam lingkungan teknologi informasi Change Healthcare, yang mengenkripsi semua sistem Change sehingga tidak dapat diakses. Karena para pemimpin tidak tahu titik masuknya, mereka memutuskan konektivitas dengan pusat data Change, yang mencegah malware menyebar di luar lingkungan Change ke sistem UnitedHealth Group lainnya.
X-Force Threat Intelligence Index 2024 mengidentifikasi ransomware BlackCat, yang berasal pada November 2021, sebagai keluarga ransomware teratas. Serangan BlackCat di masa lalu meliputi sektor perawatan kesehatan, pemerintah, pendidikan, manufaktur, dan perhotelan. Namun, geng itu telah terlibat dalam beberapa serangan di mana data medis dan keuangan sensitif bocor. Dengan menggunakan bahasa pemrograman Rust, BlackCat dapat menyesuaikan ransomware dengan cara yang membuatnya sangat menantang untuk deteksi dan dianalisis. Selain itu, BlackCat sering mencoba skema pemerasan ganda sebagai bagian dari serangannya.
Serangan ransomware pada Change Healthcare terdiri dari file yang berisi informasi kesehatan yang dilindungi (PHI) dan informasi identifikasi pribadi (PII). Witty mengatakan bahwa pelanggaran itu bisa melibatkan sebagian besar populasi Amerika. Namun, dia berbagi bahwa pada saat kesaksiannya, grafik dokter atau riwayat medis lengkap tampaknya tidak ada dalam data yang dilanggar.
Survei American Medical Association menemukan bahwa empat dari lima dokter kehilangan pendapatan karena sifat meluasnya pelanggaran Change Healthcare, dengan 77% mengalami gangguan layanan. Survei juga menemukan bahwa mayoritas pemilik praktik (55%) menggunakan dana pribadi untuk membayar tagihan dan penggajian karena krisis penagihan yang diciptakan situasi tersebut. Gangguan lainnya termasuk kemampuan terbatas untuk menyetujui resep dan prosedur medis.
Change Healthcare juga melaporkan bahwa mereka telah kehilangan 872 juta USD akibat serangan tersebut dan memperkirakan kerugiannya akan meningkat menjadi lebih dari 1 miliar USD. Dengan saat ini 24 tuntutan hukum terhadap Change Healthcare, organisasi tersebut meminta untuk mengonsolidasikan klaim menjadi gugatan class action.
Witty mengatakan kepada Kongres bahwa dia secara pribadi membuat keputusan untuk melakukan pembayaran ransomware. Dia mengatakan itu adalah salah satu keputusan tersulit yang pernah dia buat dan salah satu yang tidak akan dia harapkan pada siapa pun. Setelah pembayaran ransomware dilakukan, aktor ancaman masih mengancam untuk membagikan data di dark web. Semua data masih belum diidentifikasi dan dipulihkan.
Situasi pemulihan menjadi semakin sulit ketika RansomHub, salah satu afiliasi BlackCat, membocorkan sebagian data yang dicuri dan berupaya melakukan pemerasan lanjutan. RansomHub membagikan tangkapan layar dari data yang bocor kepada penawar tertinggi di dark web. Dalam pelanggaran besar, seperti Change Healthcare, upaya ransomware ganda tidak jarang dan bagian dari alasan banyak orang memperingatkan agar tidak membayar uang tebusan.
Ketika Change Healthcare sedang bekerja melalui proses pemulihan, Witty mengatakan kepada Kongres bahwa mereka masih bekerja untuk menentukan siapa yang terkena dampak pelanggaran dan mengeluarkan pemberitahuan. Namun, banyak organisasi dan kelompok perawatan kesehatan merasa prosesnya harus dipercepat. Pada tanggal 8 Mei,Asosiasi Rumah Sakit Amerika menulis surat resmi kepada atas nama para anggotanya yang meminta proses pemberitahuan resmi.
“Namun, penting bagi UHG untuk secara resmi memberitahukan kepada Office for Civil Rights (OCR) di Departemen Kesehatan dan Layanan Kemanusiaan serta regulator negara bagian bahwa UHG akan sepenuhnya bertanggung jawab atas seluruh pemberitahuan pelanggaran yang diwajibkan oleh hukum, dan memberikan kepada mereka garis waktu mengenai kapan pemberitahuan tersebut akan dilakukan,” tulis AHA.
Ketika situasi terus berkembang, terutama konsekuensi dari sidang Kongres, efek dari pelanggaran besar dan luas ini akan terus terungkap.
