Μια εκμετάλλευση στο λογισμικό απομακρυσμένης πρόσβασης των υπαλλήλων από τη Citrix επέτρεψε στην ομάδα ransomware AlphV ή BlackCat να αποκτήσει πρόσβαση στα συστήματα της θυγατρικής Change Healthcare της UnitedHealth και, μόλις μπήκε μέσα, να κλειδώσει 4TB δεδομένων έναντι λύτρων, τα οποία κατέβαλε η εταιρεία.
Αυτό προκύπτει από τις παρατηρήσεις του διευθύνοντος συμβούλου της UnitedHealth, Andrew Witty, ο οποίος κατέθεσε σε ακρόαση της Επιτροπής Εποπτείας Ενέργειας και Εμπορίου της Βουλής των Αντιπροσώπων για να παράσχει περισσότερες λεπτομέρειες σχετικά με την επίθεση ransomware του Φεβρουαρίου, η οποία ανέκοψε προσωρινά ορισμένες υπηρεσίες συνταγογράφησης φαρμακείων, παρέλυσε τα συστήματα ιατρικής τιμολόγησης και είχε ως αποτέλεσμα τη διαρροή δεδομένων ασθενών.
Το PCMag απευθύνθηκε στη Citrix για σχόλια, αλλά οι ρυθμιστικές αρχές των ΗΠΑ για την ασφάλεια στον κυβερνοχώρο έχουν επισημάνει ζητήματα με διάφορα συστήματα της Citrix πριν από την επίθεση.
Στον απόηχο της επίθεσης, η UnitedHealth επικοινώνησε με το FBI και αποσύνδεσε τα κέντρα δεδομένων της Change Healthcare από τα υπόλοιπα συστήματά της σε μια προσπάθεια να απομονώσει το κακόβουλο λογισμικό και να αποτρέψει τη μετακίνησή του σε άλλα συστήματα, σύμφωνα με τον Witty, ο οποίος λέει ότι η προσπάθεια αυτή ήταν επιτυχής.
"Οι εγκληματίες χρησιμοποίησαν παραβιασμένα διαπιστευτήρια για να αποκτήσουν απομακρυσμένη πρόσβαση σε μια πύλη Citrix της Change Healthcare, μια εφαρμογή που χρησιμοποιείται για να επιτρέπει την απομακρυσμένη πρόσβαση σε υπολογιστές γραφείου", λέει ο Witty. "Η πύλη δεν διέθετε έλεγχο ταυτότητας πολλαπλών παραγόντων. Μόλις ο δράστης της απειλής απέκτησε πρόσβαση, κινήθηκε πλευρικά μέσα στα συστήματα με πιο εξελιγμένους τρόπους και εξαφάνισε δεδομένα. Το Ransomware αναπτύχθηκε εννέα ημέρες αργότερα".
Η εταιρεία δεν έχει αποκαλύψει ακόμη συγκεκριμένους αριθμούς σχετικά με το πόσοι Αμερικανοί βρίσκονται σε κίνδυνο ως αποτέλεσμα. Ο Witty δήλωσε ότι "ένα σημαντικό ποσοστό ανθρώπων στην Αμερική" είναι πιθανό να επηρεαστεί, και αργότερα μοιράστηκε ότι "ίσως το ένα τρίτο" των Αμερικανών θα μπορούσε να κινδυνεύσει. Η UnitedHealth λέει ότι δεν έχει δει ακόμη να διαρρέουν ιατρικά διαγράμματα ή ιατρικά ιστορικά ατόμων, αλλά παραδέχεται ότι οι προσωπικές πληροφορίες και τα δεδομένα υγείας ορισμένων ασθενών έχουν κλαπεί στο πλαίσιο της παραβίασης. Ο Witty δεν διευκρίνισε περαιτέρω τι είδους δεδομένα υγείας διέρρευσαν.
Ο διευθύνων σύμβουλος προσθέτει ότι αποφάσισε η UnitedHealth να πληρώσει λύτρα, χαρακτηρίζοντας την επιλογή αυτή "μία από τις δυσκολότερες αποφάσεις που χρειάστηκε ποτέ να πάρω". Δεν είπε πόσα καταβλήθηκαν, αλλά οι αναφορές δείχνουν ότι έγινε μια αρχική πληρωμή 22 εκατομμυρίων δολαρίων και μια δεύτερη ομάδα απαιτεί τώρα περισσότερα.
"Εργαζόμαστε 24 ώρες το 24ωρο από την ημέρα του συμβάντος και έχουμε αναπτύξει όλους τους πόρους της UnitedHealth Group σε όλες τις πτυχές των προσπαθειών αντιμετώπισης και αποκατάστασης", προσθέτει ο Witty. "Θέλω αυτή η επιτροπή και το αμερικανικό κοινό να γνωρίζουν ότι οι άνθρωποι της UnitedHealth Group δεν θα ησυχάσουν -δεν θα ησυχάσω- μέχρι να το διορθώσουμε αυτό".
Όποιος του οποίου τα δεδομένα ενδέχεται να έχουν επηρεαστεί, θα έχει δωρεάν πρόσβαση σε παρακολούθηση της πιστοληπτικής ικανότητας και προστασία από κλοπή ταυτότητας για τα επόμενα δύο χρόνια μέσω της UnitedHealth. Τα άτομα μπορούν να επικοινωνήσουν με το προσωπικό της UH που ασχολείται με τα επακόλουθα, μεταβαίνοντας σε ειδική σελίδα στον ιστότοπο της UnitedHealth.
Δυστυχώς, η επίθεση στην Change Healthcare δεν αποτελεί μεμονωμένο περιστατικό. Οι επιθέσεις Ransomware αποτελούν συνεχές πρόβλημα. Η ίδια η UnitedHealth καταπολεμά πάνω από 450.000 κυβερνοεπιθέσεις ή "εισβολές" ετησίως, ή περίπου μία κάθε 70 δευτερόλεπτα, σύμφωνα με την εταιρεία.