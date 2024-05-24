Witty氏の証言によると、ランサムウェア・ギャングのBlackCatは、2月12日に侵害された認証情報を使ってChange Healthcare Citrixポータルにリモートアクセスし、リモート・デスクトップ・アクセスを可能にしました。また、ポータルは多要素認証を利用していませんでした。BlackCatはその後、2月21日に、Change Healthcare社のテクノロジー環境内にランサムウェアをデプロイし、Changeのすべてのシステムを暗号化してアクセス不能にしました。リーダーたちは侵入ポイントを知らなかったため、Change社のデータセンターとの接続を切断し、これによりマルウェアがChange社の環境の外で他のUnited Health Groupのシステムに拡散するのを防ぎました。

2024 X-Force Threat Intelligence Indexは、2021年11月に発生したBlackCatランサムウェアを、主要なランサムウェア・ファミリーとして特定しました。過去のBlackCat攻撃には、医療、官公庁・自治体、教育プログラム、製造、ホスピタリティの各セクターが含まれます。しかし、このギャングは、機密の医療データや金融データが漏洩されたいくつかの攻撃に関与しています。BlackCatはRustプログラミング言語を使用することで、検知と分析を非常に困難にする方法でランサムウェアをカスタマイズできます。さらに、BlackCatは攻撃の一環として頻繁に二重恐喝スキームを試みます。

Change Healthcare社に対するランサムウェア攻撃は、保護された医療情報（PHI）と個人情報（PII）を含むファイルで構成されていました。Witty氏は、この侵害には米国人口のかなりの部分に関係している可能性があると述べています。しかし、彼は証言の時点では、医師のカルテやすべての病歴が侵害されたデータに存在するようには見えなかったと述べています。