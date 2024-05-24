El director ejecutivo (CEO) de UnitedHealth Group, Andrew Witty, se encontró respondiendo preguntas frente al Congreso el 1 de mayo sobre el ataque de ransomware Change Healthcare que ocurrió en febrero. Durante la audiencia, admitió que su organización pagó la solicitud de ransomware del atacante. Se ha informado de que la organización de hackers BlackCat, también conocida como ALPHV, recibió un pago de 22 millones de dólares estadounidenses a través de Bitcoin.
Aunque realizaron el pago del ransomware, Witty compartió que Change Healthcare no recuperó sus datos. Esto es una ocurrencia común con los ataques de ransomware, y es una de las muchas razones por las que muchos expertos, incluido IBM, no recomiendan pagar ransomware. Con copias de seguridad y procesos de recuperación de datos adecuados, las organizaciones pueden restaurar rápidamente sus propios datos y reducir las interrupciones en la actividad empresarial. Durante 2023, los pagos por ransomware como el realizado por Change Healthcare alcanzaron un máximo histórico de 1100 millones de dólares.
Según el testimoniode Witty, la banda de ransomware BlackCat empleó credenciales comprometidas para acceder remotamente a un portal de Change Healthcare Citrix, que permitía el acceso remoto al escritorio, el 12 de febrero. El portal no utilizaba la autenticación multifactor. BlackCat desplegó entonces un ransomware el 21 de febrero dentro de los entornos de tecnología de la información de Change Healthcare, que cifró todos los sistemas de Change, dejándolos inaccesibles. Debido a que los líderes no conocían el punto de entrada, cortaron la conectividad con el centro de datos de Change, lo que evitó que el malware se propagara fuera del entorno de Change a otros sistemas de UnitedHealth Group.
El 2024 X-Force Threat Intelligence Index identificó el ransomware BlackCat, que se originó en noviembre de 2021, como una de las principales familias de ransomware. Los ataques anteriores de BlackCat incluyen los sectores de la salud, el gobierno, la educación, la industria manufacturera y la hostelería. Sin embargo, la banda ha estado involucrada en varios ataques en los que se filtraron datos médicos y financieros confidenciales. Al utilizar el lenguaje de programación Rust, BlackCat puede personalizar el ransomware de manera que sea muy difícil de detectar y analizar. Además, BlackCat a menudo intenta esquemas de doble extorsión como parte de sus ataques.
El ataque de ransomware contra Change Healthcare comprendía archivos que contenían información de salud protegida (PHI) e información de identificación personal (PII). Witty dijo que la filtración podría afectar a una parte importante de la población estadounidense. Sin embargo, compartió que en el momento de su testimonio, los expedientes médicos o los historiales médicos completos no parecían estar en los datos que se filtraron.
Boletín de la industria
Manténgase al día sobre las tendencias más importantes e intrigantes de la industria sobre IA, automatización, datos y más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Una encuesta de la Asociación Médica Estadounidense encontró que cuatro de cada cinco médicos perdieron ingresos debido a la naturaleza generalizada de la violación de Change Healthcare, con un 77 % experimentando interrupciones en el servicio. La encuesta también encontró que la mayoría de los propietarios de las prácticas (55 %) utilizaron fondos personales para pagar facturas y nóminas debido a la crisis de facturación que creó la situación. Otras interrupciones incluyeron la capacidad limitada para aprobar recetas y procedimientos médicos.
Change Healthcare también informó que ha perdido 872 millones de dólares por el ataque y espera que sus pérdidas superen los 1.000 millones de dólares. Con actualmente 24 demandas contra Change Healthcare, la organización solicita consolidar las reclamaciones en una demanda colectiva.
Witty le dijo al Congreso que él personalmente tomó la decisión de realizar el pago del ransomware. Dijo que fue una de las decisiones más difíciles que ha tomado y que no le desearía a nadie. Después de que se realizó el pago del ransomware, los actores de amenazas aún amenazaron con compartir los datos en la dark web. Todos los datos aún no han sido identificados y recuperados.
Para complicar aún más la recuperación, un afiliado de BlackCat, RansomHub, filtró al menos algunos de los datos robados e intentó una extorsión adicional. RansomHub compartió capturas de pantalla de los datos filtrados al mejor postor en la dark web. En grandes filtraciones, como Change Healthcare, los intentos dobles de ransomware no son infrecuentes y parte de la razón por la que muchos advierten contra el pago del rescate.
Mientras Change Healthcare está trabajando en el proceso de recuperación, Witty le dijo al Congreso que todavía están trabajando para determinar quién se vio afectado por la filtración y emitir notificaciones. Sin embargo, muchas organizaciones y grupos de salud consideran que el proceso debería acelerarse. El 8 de mayo, la American Hospital Association escribió una carta formal en nombre de sus miembros solicitando un proceso de notificación formal.
"Sin embargo, es importante que UHG informe oficialmente a la Oficina de Derechos Civiles (OCR) del Departamento de estado y Servicios Humanos y a los reguladores estatales que UHG será el único responsable de todas las notificaciones de incumplimiento requeridas por la ley y les proporcione un cronograma para cuando esas notificaciones se producirán", escribió la AHA.
A medida que la situación continúe evolucionando, especialmente las ramificaciones de la audiencia en el Congreso, los efectos de esta brecha grande y generalizada continuarán desarrollándose.
Para saber cómo IBM® X-Force puede ayudarte con cualquier cosa relacionada con la ciberseguridad, incluyendo respuesta a incidentes, inteligencia de amenazas o servicios de seguridad ofensiva, programa una reunión aquí.
Si tiene problemas de ciberseguridad o un incidente, contacte a X-Force para ayudarle: Línea directa de EE. UU. 1-888-241-9812 | Línea directa global (+001) 312-212-8034.