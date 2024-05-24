Según el testimoniode Witty, la banda de ransomware BlackCat empleó credenciales comprometidas para acceder remotamente a un portal de Change Healthcare Citrix, que permitía el acceso remoto al escritorio, el 12 de febrero. El portal no utilizaba la autenticación multifactor. BlackCat desplegó entonces un ransomware el 21 de febrero dentro de los entornos de tecnología de la información de Change Healthcare, que cifró todos los sistemas de Change, dejándolos inaccesibles. Debido a que los líderes no conocían el punto de entrada, cortaron la conectividad con el centro de datos de Change, lo que evitó que el malware se propagara fuera del entorno de Change a otros sistemas de UnitedHealth Group.

El 2024 X-Force Threat Intelligence Index identificó el ransomware BlackCat, que se originó en noviembre de 2021, como una de las principales familias de ransomware. Los ataques anteriores de BlackCat incluyen los sectores de la salud, el gobierno, la educación, la industria manufacturera y la hostelería. Sin embargo, la banda ha estado involucrada en varios ataques en los que se filtraron datos médicos y financieros confidenciales. Al utilizar el lenguaje de programación Rust, BlackCat puede personalizar el ransomware de manera que sea muy difícil de detectar y analizar. Además, BlackCat a menudo intenta esquemas de doble extorsión como parte de sus ataques.

El ataque de ransomware contra Change Healthcare comprendía archivos que contenían información de salud protegida (PHI) e información de identificación personal (PII). Witty dijo que la filtración podría afectar a una parte importante de la población estadounidense. Sin embargo, compartió que en el momento de su testimonio, los expedientes médicos o los historiales médicos completos no parecían estar en los datos que se filtraron.