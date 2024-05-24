Witty의 증언에 따르면 랜섬웨어 조직 BlackCat은 2월 12일 자격 증명을 이용하여 Change Healthcare Citrix 포털에 원격으로 액세스했고, 이를 통해 원격 데스크톱 액세스가 가능해졌습니다. 이 포털은 다단계 인증을 사용하지 않았습니다. 그런 다음, BlackCat은 2월 21일 Change Healthcare의 정보 기술 환경에 랜섬웨어를 배포하여 Change의 모든 시스템을 암호화하여 액세스할 수 없게 만들었습니다. 리더들은 진입 지점을 알지 못했기 때문에 Change의 데이터 센터와의 연결을 끊고 멀웨어가 Change의 환경 외부에서 다른 UnitedHealth Group 시스템으로 확산되는 것을 방지했습니다.

2024년 X-Force Threat Intelligence Index는 2021년 11월에 처음 등장한 BlackCat 랜섬웨어를 주요 랜섬웨어 계열로 지목했습니다. 과거 BlackCat 공격 대상에는 의료 서비스, 정부, 교육, 제조업, 숙박업이 포함되었습니다. 그러나 이 단체는 민감한 의료 및 금융 데이터가 유출된 여러 공격에 연루된 바 있습니다. BlackCat은 Rust 프로그래밍 언어를 사용하여 탐지 및 분석이 매우 어려운 방식으로 랜섬웨어를 사용자 정의할 수 있습니다. 또한 BlackCat은 공격의 일환으로 이중 갈취를 시도하는 경우가 많습니다.

Change Healthcare에 대한 랜섬웨어 공격은 보호되는 건강 정보(PHI)와 개인 식별 정보(PII)가 포함된 파일로 구성되었습니다. Witty는 이러한 침해가 미국 인구의 상당 부분과 관련이 있을 수 있다고 말했습니다. 하지만 그는 자신의 증언 당시 의사들의 차트나 전체 병력이 유출된 데이터에 포함되지 않은 것으로 보인다고 말했습니다.