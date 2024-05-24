Il CEO di UnitedHealth Group, Andrew Witty, si è trovato a rispondere a domande davanti al Congresso il 1° maggio riguardo all'attacco ransomware Change Healthcare avvenuto a febbraio. Durante l'udienza, ha ammesso che la sua organizzazione ha pagato la richiesta di ransomware dell'aggressore. È stato riportato che l'organizzazione hacker BlackCat, nota anche come ALPHV, ha ricevuto un pagamento di 22 milioni di dollari tramite Bitcoin.
Nonostante abbiano effettuato il pagamento del ransomware, Witty ha dichiarato che Change Healthcare non ha recuperato i suoi dati. Si tratta di un fenomeno comune negli attacchi ransomware, ed è uno dei tanti motivi per cui molti esperti, tra cui IBM, sconsigliano di pagare. Con adeguati backup e processi di recupero dati, le organizzazioni possono ripristinare rapidamente i propri dati e ridurre le interruzioni aziendali. Nel 2023, i pagamenti per i ransomware come quello effettuato da Change Healthcare hanno raggiunto il massimo storico di 1,1 miliardi di dollari.
Secondo la testimonianza di Witty, il gruppo di ransomware BlackCat ha utilizzato credenziali compromesse per accedere remotamente a un portale Change Healthcare Citrix, che consentiva l'accesso remoto al desktop, il 12 febbraio. Il portale non utilizzava l'autenticazione a più fattori. Il 21 febbraio, BlackCat ha quindi distribuito un ransomware all'interno degli ambienti di tecnologia informatica di Change Healthcare, che ha crittografato tutti i sistemi di Change rendendoli inaccessibili. Poiché i leader non conoscevano il punto d'ingresso, hanno interrotto la connettività con il data center di Change, impedendo al malware di diffondersi al di fuori dell'ambiente di Change ad altri sistemi di UnitedHealth Group.
L'X-Force Threat Intelligence Index 2024 ha identificato il ransomware BlackCat, nato nel novembre 2021, come una delle principali famiglie di ransomware. Attacchi BlackCat passati hanno colpito il settore sanitario, governativo, della formazione, manifatturiero e dell'ospitalità. Tuttavia, il gruppo è stato coinvolto in diversi attacchi in cui sono trapelati dati sensibili medici e finanziari. Utilizzando il linguaggio di programmazione Rust, BlackCat è in grado di personalizzare il ransomware in modi che lo rendono molto difficile da rilevare e analizzare. Inoltre, BlackCat spesso tenta schemi di doppia estorsione come parte dei suoi attacchi.
L'attacco ransomware contro Change Healthcare comprendeva file contenenti informazioni sanitarie protette (PHI) e informazioni di identificazione personale (PII). Witty ha affermato che la violazione potrebbe coinvolgere una parte sostanziale della popolazione americana. Tuttavia, ha condiviso che al momento della sua testimonianza non risultavano nelle cartelle cliniche dei medici o nelle storie mediche complete i dati violati.
Un sondaggio dell'American Medical Association ha rilevato che quattro clinici su cinque hanno perso entrate a causa della natura diffusa della violazione di Change Healthcare, e il 77% ha subito interruzioni del servizio. Il sondaggio ha inoltre rilevato che la maggior parte dei proprietari di studi (55%) ha utilizzato fondi personali per pagare bollette e buste paga a causa della crisi di fatturazione creata dalla situazione. Altre interruzioni includevano la limitata capacità di approvare prescrizioni e procedure mediche.
Change Healthcare ha inoltre riferito di aver perso 872 milioni di dollari a causa dell'attacco e prevede che le sue perdite supereranno 1 miliardo di dollari. Considerate le attuali 24 cause intentate contro Change Healthcare, l'organizzazione chiede di consolidare le richieste in una class action.
Witty ha dichiarato al Congresso di aver preso personalmente la decisione di effettuare il pagamento del ransomware. Ha detto che è stata una delle decisioni più difficili che abbia mai preso e che non la augurerebbe a nessuno. Dopo aver effettuato il pagamento del ransomware, gli attori delle minacce hanno continuato a minacciare di condividere i dati sul dark web. Non tutti i dati sono ancora stati identificati e recuperati.
A complicare ulteriormente il recupero, un affiliato di BlackCat, RansomHub, ha fatto trapelare almeno una parte dei dati rubati e ha tentato un'ulteriore estorsione. RansomHub ha condiviso le schermate dei dati trapelati al miglior offerente sul dark web. In caso di violazioni di grandi dimensioni, come quella di Change Healthcare, i doppi tentativi di ransomware non sono rari e questo è uno dei motivi per cui molti sconsigliano di pagare il riscatto.
Mentre Change Healthcare sta completando il processo di recupero, Witty ha dichiarato al Congresso che stanno ancora lavorando per determinare chi è stato colpito dalla violazione e per emettere notifiche. Tuttavia, molte organizzazioni e gruppi sanitari ritengono che il processo debba essere accelerato. L'8 maggio, l'American Hospital Association ha scritto una lettera formale a nome dei suoi membri richiedendo un processo di notifica formale.
"È importante, tuttavia, che UHG informi ufficialmente l'Office for Civil Rights (OCR) del Department of Health and Human Services e gli enti regolatori statali che UHG sarà l'unico responsabile di tutte le notifiche di violazione richieste dalla legge e fornisca loro una tempistica per quando avverranno tali notifiche", scrive l'AHA.
Mentre la situazione continua ad evolversi, in particolare le ramificazioni dell'udienza del Congresso, gli effetti di questa violazione ampia e diffusa continueranno a manifestarsi.
Se stai riscontrando problemi di sicurezza informatica o un incidente, contatta X-Force per ricevere assistenza: USA: 1-888-241-9812 | Internazionale: (+001) 312-212-8034.