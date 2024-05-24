Menurut kesaksianWitty, geng ransomware BlackCat menggunakan kredensial yang disusupi untuk mengakses portal Change Healthcare Citrix dari jarak jauh, yang memungkinkan akses desktop jarak jauh, pada 12 Februari. Portal tersebut tidak menggunakan autentikasi multi-faktor. BlackCat kemudian menerapkan ransomware pada 21 Februari di dalam lingkungan teknologi informasi Change Healthcare, yang mengenkripsi semua sistem Change sehingga tidak dapat diakses. Karena para pemimpin tidak tahu titik masuknya, mereka memutuskan konektivitas dengan pusat data Change, yang mencegah malware menyebar di luar lingkungan Change ke sistem UnitedHealth Group lainnya.

X-Force Threat Intelligence Index 2024 mengidentifikasi ransomware BlackCat, yang berasal pada November 2021, sebagai keluarga ransomware teratas. Serangan BlackCat di masa lalu meliputi sektor perawatan kesehatan, pemerintah, pendidikan, manufaktur, dan perhotelan. Namun, geng itu telah terlibat dalam beberapa serangan di mana data medis dan keuangan sensitif bocor. Dengan menggunakan bahasa pemrograman Rust, BlackCat dapat menyesuaikan ransomware dengan cara yang membuatnya sangat menantang untuk deteksi dan dianalisis. Selain itu, BlackCat sering mencoba skema pemerasan ganda sebagai bagian dari serangannya.

Serangan ransomware pada Change Healthcare terdiri dari file yang berisi informasi kesehatan yang dilindungi (PHI) dan informasi identifikasi pribadi (PII). Witty mengatakan bahwa pelanggaran itu bisa melibatkan sebagian besar populasi Amerika. Namun, dia berbagi bahwa pada saat kesaksiannya, grafik dokter atau riwayat medis lengkap tampaknya tidak ada dalam data yang dilanggar.