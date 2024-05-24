Secondo la testimonianza di Witty, il gruppo di ransomware BlackCat ha utilizzato credenziali compromesse per accedere remotamente a un portale Change Healthcare Citrix, che consentiva l'accesso remoto al desktop, il 12 febbraio. Il portale non utilizzava l'autenticazione a più fattori. Il 21 febbraio, BlackCat ha quindi distribuito un ransomware all'interno degli ambienti di tecnologia informatica di Change Healthcare, che ha crittografato tutti i sistemi di Change rendendoli inaccessibili. Poiché i leader non conoscevano il punto d'ingresso, hanno interrotto la connettività con il data center di Change, impedendo al malware di diffondersi al di fuori dell'ambiente di Change ad altri sistemi di UnitedHealth Group.

L'X-Force Threat Intelligence Index 2024 ha identificato il ransomware BlackCat, nato nel novembre 2021, come una delle principali famiglie di ransomware. Attacchi BlackCat passati hanno colpito il settore sanitario, governativo, della formazione, manifatturiero e dell'ospitalità. Tuttavia, il gruppo è stato coinvolto in diversi attacchi in cui sono trapelati dati sensibili medici e finanziari. Utilizzando il linguaggio di programmazione Rust, BlackCat è in grado di personalizzare il ransomware in modi che lo rendono molto difficile da rilevare e analizzare. Inoltre, BlackCat spesso tenta schemi di doppia estorsione come parte dei suoi attacchi.

L'attacco ransomware contro Change Healthcare comprendeva file contenenti informazioni sanitarie protette (PHI) e informazioni di identificazione personale (PII). Witty ha affermato che la violazione potrebbe coinvolgere una parte sostanziale della popolazione americana. Tuttavia, ha condiviso che al momento della sua testimonianza non risultavano nelle cartelle cliniche dei medici o nelle storie mediche complete i dati violati.