Μια κυβερνοεπίθεση στη θυγατρική Optum της
UnitedHealth Group
που οδήγησε σε συνεχή διακοπή λειτουργίας που επηρεάζει την πλατφόρμα ανταλλαγής πληρωμών Change Healthcare συνδέθηκε με την ομάδα ransomware BlackCat από πηγές που είναι εξοικειωμένες με την έρευνα.
Η Change Healthcare προειδοποίησε τους πελάτες την Τετάρτη ότι ορισμένες από τις
υπηρεσίες
της είναι εκτός σύνδεσης λόγω ενός περιστατικού κυβερνοασφάλειας. Μια μέρα αργότερα, η UnitedHealth Group δήλωσε σε μια κατάθεση SEC 8-K ότι η κυβερνοεπίθεση συντονίστηκε από ύποπτους χάκερ «εθνικού κράτους» που απέκτησαν πρόσβαση στα συστήματα πληροφορικής της Change Healthcare.
Ο τερματισμός του Change Healthcare οδήγησε σε
εκτεταμένες διακοπές τιμολόγησης
δεδομένου ότι η πλατφόρμα χρησιμοποιείται ευρέως σε όλο το σύστημα υγειονομικής περίθαλψης των ΗΠΑ από ηλεκτρονικό αρχείο υγείας (EHR), επεξεργασία πληρωμών, συντονισμό περίθαλψης και συστήματα ανάλυσης δεδομένων σε νοσοκομεία, κλινικές και φαρμακεία.
Έκτοτε, το Optum παρέχει καθημερινές ενημερώσεις συμβάντων σε ένα
ειδική σελίδα κατάστασης
προειδοποιώντας ότι τα συστήματα της Change Healthcare εξακολουθούν να είναι εκτός σύνδεσης για να αποτρέψουν περαιτέρω επιπτώσεις και να περιορίσουν την παραβίαση, με τη διακοπή να επηρεάζει επί του παρόντος τις περισσότερες υπηρεσίες.
«Έχουμε υψηλό επίπεδο εμπιστοσύνης ότι τα συστήματα Optum, UnitedHealthcare και UnitedHealth Group δεν έχουν επηρεαστεί από αυτό το ζήτημα», λέει η Optum.
«Εργαζόμαστε σε πολλαπλές προσεγγίσεις για να αποκαταστήσουμε το επηρεασμένο περιβάλλον και δεν θα κάνουμε συντομεύσεις ούτε θα αναλάβουμε πρόσθετο κίνδυνο καθώς επαναφέρουμε τα συστήματά μας στο διαδίκτυο».
Σύνδεσμοι BlackCat
Από τότε που η επίθεση έπληξε τα συστήματά της, η ChangeHealthcare πραγματοποιεί κλήσεις Zoom με συνεργάτες στον κλάδο της υγειονομικής περίθαλψης για να παρέχει ενημερώσεις σχετικά με την κυβερνοεπίθεση.
Ένας από αυτούς που συμμετείχαν σε αυτές τις κλήσεις είπε στο BleepingComputer ότι η επίθεση συνδέθηκε με τη συμμορία ransomware BlackCat (ALPHV) από ιατροδικαστές που συμμετείχαν στην απάντηση του περιστατικού (το Reuters ανέφερε για πρώτη φορά τη σύνδεση Blackcat τη Δευτέρα).
Μια άλλη πηγή είπε στο BleepingComputer την Παρασκευή ότι ένας από τους δείκτες συμβιβασμού είναι ένα κρίσιμο σφάλμα παράκαμψης ελέγχου ταυτότητας ScreenConnect (CVE-2024-1709) που χρησιμοποιείται ενεργά σε επιθέσεις για την ανάπτυξη ransomware σε μη επιδιορθωμένους διακομιστές.
Το BleepingComputer δεν μπόρεσε να επιβεβαιώσει ανεξάρτητα τους ισχυρισμούς των πηγών.
Κατά τη στιγμή αυτής της δημοσίευσης, η BlackCat δεν είχε ακόμη διεκδικήσει την επίθεση στο Change Healthcare, υποδεικνύοντας ότι μπορεί ακόμα να βρίσκεται στη διαδικασία της προσπάθειας εκβίασης λύτρων.
Η United Health Group (UHG) είναι μια εταιρεία ασφάλισης υγείας με παρουσία και στις 50 πολιτείες των ΗΠΑ που έχει συμβάσεις με περισσότερους από 1,6 εκατομμύρια γιατρούς και επαγγελματίες υγείας, καθώς και 8.000 νοσοκομεία και άλλες εγκατασ
τάσεις
περίθαλψης.
Η UHG απασχολεί 440.000 άτομα σε όλο τον κόσμο και είναι η μεγαλύτερη εταιρεία υγειονομικής περίθαλψης στον κόσμο με έσοδα (324,2 δισεκατομμύρια δολάρια το 2022).
Η Optum Solutions, η θυγατρική της, διαχειρίζεται την πλατφόρμα Change Healthcare, τη μεγαλύτερη πλατφόρμα ανταλλαγής πληρωμών που συνδέει γιατρούς, φαρμακεία, παρόχους υγειονομικής περίθαλψης και ασθενείς στο σύστημα υγειονομικής περίθαλψης των ΗΠΑ.
Οι εκπρόσωποι της UnitedHealth Group και της Optum δεν ήταν άμεσα διαθέσιμοι για σχόλια όταν η BleepingComputer ζήτησε επιβεβαίωση για την επίθεση ransomware BlackCat.
Ένας εκπρόσωπος της BlackCat δεν απάντησε στο αίτημα του BleepingComputer για σχολιασμό πριν από τη δημοσίευση αυτού του άρθρου.
Ποιος είναι ο BlackCat/ALPHV;
Το BlackCat εμφανίστηκε τον Νοέμβριο του 2021 ως ύποπτο rebrand των λειτουργιών ransomware DarkSide και BlackMatter.
Το DarkSide κέρδισε γρήγορα παγκόσμια φήμη μετά την επίθεση του Colonial Pipeline, η οποία οδήγησε σε εκτεταμένες έρευνες από τις υπηρεσίες επιβολής του νόμου σε όλο τον κόσμο και η επιχείρηση έπρεπε να περάσει από δύο ακόμη μετονομασίες.
Το FBI συνέδεσε τη BlackCat με περισσότερες από 60 παραβιάσεις κατά τους πρώτους τέσσερις μήνες της δραστηριότητάς της μεταξύ Νοεμβρίου 2021 και Μαρτίου 2022. Επίσης, εκτιμά ότι η BlackCat έχει συγκεντρώσει τουλάχιστον 300 εκατομμύρια δολάρια σε
πληρωμές
λύτρων από περισσότερα από 1.000 θύματα μέχρι τον Σεπτέμβριο του 2023.
Οι επιχειρήσεις της συμμορίας διακόπηκαν τον Δεκέμβριο, με το FBI να καταργεί προσωρινά τις ιστοσελίδες διαπραγμάτευσης και διαρροής Tor, αφού χακάρισε τους διακομιστές της και δημιούργησε ένα εργαλείο αποκρυπτογράφησης χρησιμοποιώντας κλειδιά που συλλέχθηκαν κατά τη διάρκεια της πολύμηνης εισβολής.
Έκτοτε, η BlackCat έχει «αποκαταστήσει» τον ιστότοπο διαρροής χρησιμοποιώντας ιδιωτικά κλειδιά που κατείχαν ακόμη και τώρα λειτουργεί μια νέα τοποθεσία διαρροής Tor που το FBI δεν έχει ακόμη καταργήσει.
Ενώ η κατάθεση SEC της UnitedHealth Group αναφέρει ότι ένας παράγοντας απειλής εθνικού κράτους βρίσκεται πίσω από την επίθεση, η BlackCat δεν έχει συνδεθεί δημόσια με ξένες κυβερνητικές υπηρεσίες.
Το Υπουργείο Εξωτερικών των ΗΠΑ προσφέρει ανταμοιβές έως και 10 εκατομμυρίων δολαρίων για συμβουλές που οδηγούν στον εντοπισμό ή τον εντοπισμό ηγετών των συμμοριών ALPHV και 5 εκατομμύρια δολάρια για πληροφορίες σχετικά με άτομα που συνδέονται με επιθέσεις ransomware BlackCat.
VIA:
bleepingcomputer.com
