UnitedHealth Group의 CEO인 Andrew Witty는 2월에 발생한 Change Healthcare 랜섬웨어 공격과 관련하여 5월 1일 미 의회에서 질문에 답변하는 모습을 보였습니다. 청문회에서 그는 자신의 조직이 공격자의 랜섬웨어 요구 금액을 지불했다고 인정했습니다. 해커 조직인 블랙캣(ALPHV라고도 함)은 비트코인을 통해 2,200만 달러를 지급받은 것으로 보고되었습니다.
Witty는 랜섬웨어 비용을 지불했음에도 불구하고 Change Healthcare가 데이터를 되찾지 못했다고 밝혔습니다. 이것은 랜섬웨어 공격에서 흔히 발생하는 일이며, IBM을 비롯한 많은 전문가들이 랜섬웨어 비용을 지불할 것을 권고하지 않는 여러 이유 중 하나입니다. 적절한 백업 및 데이터 복구 프로세스를 통해 조직은 자체 데이터를 신속하게 복원하고 비즈니스 중단을 줄일 수 있습니다. 2023년 한 해 동안 Change Healthcare와 같이 랜섬웨어로 지불된 금액은 사상 최고치인 11억 달러에 달했습니다.
Witty의 증언에 따르면 랜섬웨어 조직 BlackCat은 2월 12일 자격 증명을 이용하여 Change Healthcare Citrix 포털에 원격으로 액세스했고, 이를 통해 원격 데스크톱 액세스가 가능해졌습니다. 이 포털은 다단계 인증을 사용하지 않았습니다. 그런 다음, BlackCat은 2월 21일 Change Healthcare의 정보 기술 환경에 랜섬웨어를 배포하여 Change의 모든 시스템을 암호화하여 액세스할 수 없게 만들었습니다. 리더들은 진입 지점을 알지 못했기 때문에 Change의 데이터 센터와의 연결을 끊고 멀웨어가 Change의 환경 외부에서 다른 UnitedHealth Group 시스템으로 확산되는 것을 방지했습니다.
2024년 X-Force Threat Intelligence Index는 2021년 11월에 처음 등장한 BlackCat 랜섬웨어를 주요 랜섬웨어 계열로 지목했습니다. 과거 BlackCat 공격 대상에는 의료 서비스, 정부, 교육, 제조업, 숙박업이 포함되었습니다. 그러나 이 단체는 민감한 의료 및 금융 데이터가 유출된 여러 공격에 연루된 바 있습니다. BlackCat은 Rust 프로그래밍 언어를 사용하여 탐지 및 분석이 매우 어려운 방식으로 랜섬웨어를 사용자 정의할 수 있습니다. 또한 BlackCat은 공격의 일환으로 이중 갈취를 시도하는 경우가 많습니다.
Change Healthcare에 대한 랜섬웨어 공격은 보호되는 건강 정보(PHI)와 개인 식별 정보(PII)가 포함된 파일로 구성되었습니다. Witty는 이러한 침해가 미국 인구의 상당 부분과 관련이 있을 수 있다고 말했습니다. 하지만 그는 자신의 증언 당시 의사들의 차트나 전체 병력이 유출된 데이터에 포함되지 않은 것으로 보인다고 말했습니다.
미국 의학 협회의 설문조사에 따르면 Change Healthcare 침해의 광범위한 영향으로 인해 임상의 5명 중 4명이 수익 손실을 겪고, 77%가 서비스 중단을 경험한 것으로 밝혀졌습니다. 이 설문조사에 따르면 대다수(55%)의 병원 소유주가 이번 사태로 인한 청구 위기로 인해 자금을 사용하여 청구서와 급여를 지급한 것으로 나타났습니다. 다른 장애로는 처방전 및 의료 절차 승인 기능의 제한이 있었습니다.
또한 Change Healthcare는 이번 공격으로 8억 7,200만 달러의 손실을 입었으며 손실액이 10억 달러 이상으로 늘어날 것으로 예상하고 있습니다. 현재 24건의 소송이 제기되어 있는 Change Healthcare는 집단 소송으로 통합할 것을 요청하고 있습니다.
Witty는 의회에 자신이 랜섬웨어 요구 금액을 지불하기로 결정했다고 말했습니다. 그는 지금까지 내린 결정 중 가장 힘든 결정이었으며 누구에게도 권하고 싶지 않은 결정이었다고 말했습니다. 랜섬웨어 요구 금액을 지불한 후에도 위협 행위자들은 여전히 다크 웹에서 데이터를 공유하겠다고 협박했습니다. 아직 모든 데이터가 식별 및 복구되지 않았습니다.
BlackCat의 계열 단체인 RansomHub는 도난당한 데이터 중 적어도 일부를 유출하고 추가적인 탈취를 시도하여 복구를 더욱 복잡하게 만들었습니다. RansomHub는 스크린샷을 다크 웹의 최고 입찰자에게 공유했습니다. Change Healthcare와 같은 대규모 유출에서는 이중 랜섬웨어 시도가 드문 일이 아니며, 이는 많은 사람들이 몸값 지불에 대해 경고하는 이유 중 하나입니다.
Change Healthcare가 복구 프로세스를 진행하는 동안 Witty는 침해로 인해 영향을 받은 사람을 파악하고 통지를 제공하기 위해 계속 노력하고 있다고 의회에 밝혔습니다. 그러나 많은 의료 기관 및 단체는 이 절차가 신속하게 진행되어야 한다고 생각합니다. 5월 8일, 미국 병원 협회(AHA)는 회원들을 대신하여 공식 통지 절차를 요청하는 공식 서한을 보냈습니다.
"하지만 UHG가 법적으로 요구되는 모든 정보 유출 통지에 대해 단독으로 책임을 질 것임을 복지부 시민권 사무소(OCR) 및 주 규제 기관에 공식적으로 통보하고, 해당 통지가 이루어질 시기에 대한 일정을 제공해야 한다는 점이 중요합니다."라고 AHA는 서한에 적었습니다.
상황이 계속 전개되고 특히 의회 청문회의 파장이 이어지면서 이 크고 광범위한 유출의 영향은 계속해서 드러날 것입니다.
