UnitedHealth confirme que le réseau de Change Healthcare a été piraté par le gang de ransomwares BlackCat, qui a utilisé des informations d’identification volées pour se connecter au service d’accès à distance Citrix de l’entreprise, qui n’avait pas activé l’authentification multifacteur.

Cela a été révélé dans le témoignage écrit du PDG de UnitedHealth, Andrew Witty, publié avant une audience du sous-comité de l’énergie et du commerce de la Chambre prévue demain.

L’attaque de ransomware sur Change Healthcare s’est produite fin février 2024, entraînant de graves perturbations opérationnelles sur la plateforme Change Healthcare d’Optum.

Cela a eu un impact sur un large éventail de services essentiels utilisés par les prestataires de soins de santé à travers les États-Unis, y compris le traitement des paiements, la rédaction des ordonnances et les réclamations d’assurance, et a causé des dommages financiers estimés à 872 millions de dollars.

Auparavant, le gang de ransomwares BlackCat affirmait avoir reçu un paiement de rançon de 22 millions de dollars de UnitedHealth, qui avait été volé à l’affilié qui avait mené l’attaque dans une arnaque de sortie. Peu de temps après, l’affilié a affirmé détenir toujours les données et s’est associé à RansomHub pour lancer une demande d’extorsion supplémentaire en divulguant des données volées.

L’organisation de la santé a récemment admis qu’elle avait payé une rançon pour protéger les données des personnes après la compromission, mais aucun détail sur l’attaque ni sur les auteurs de l’attaque n’a été officiellement divulgué.

RansomHub a depuis supprimé l’entrée Change Healthcare de son site, indiquant qu’une rançon supplémentaire avait été payée.

Un rodage facile
Dans le témoignage d’Andrew Witty, le PDG a confirmé que l’attaque avait eu lieu le matin du 21 février, lorsque les auteurs de la menace ont commencé à chiffrer les systèmes et à les rendre inaccessibles aux employés de l’organisation.

Pour la première fois, la société a également confirmé officiellement le rapport de Breachtrace selon lequel l’opération de ransomware ALPHV/BlackCat était à l’origine de l’attaque.

Bien que l’attaque publique ait eu lieu le 21 février, Witty a révélé que l’attaquant avait eu accès au réseau de l’entreprise pendant environ dix jours avant de déployer ses chiffreurs. Pendant ce temps, les acteurs de la menace se sont répandus sur le réseau et ont volé des données d’entreprise et de patients qui seraient utilisées dans leurs tentatives d’extorsion.

Les enquêtes, qui sont toujours en cours, ont révélé que les attaquants ont d’abord eu accès au portail Citrix de Change Healthcare le 12 février 2024, en utilisant des informations d’identification d’employés volées. On ignore si ces informations d’identification ont été initialement volées via une attaque de phishing ou un logiciel malveillant de vol d’informations.

« Le 12 février, des criminels ont utilisé des informations d’identification compromises pour accéder à distance à un portail Citrix Change Healthcare, une application utilisée pour permettre l’accès à distance aux ordinateurs de bureau », a expliqué Witty.

« Le portail n’avait pas d’authentification multifacteur. Une fois que l’auteur de la menace a eu accès, il s’est déplacé latéralement dans les systèmes de manière plus sophistiquée et a exfiltré les données. Un ransomware a été déployé neuf jours plus tard. »

Le PDG a également partagé un moment personnel, déclarant que le choix de payer une rançon était entièrement le sien et l’une des décisions les plus difficiles qu’il ait eu à prendre.

« En tant que PDG, la décision de payer une rançon était la mienne. Ce fut l’une des décisions les plus difficiles que j’ai jamais eu à prendre. Et je ne le souhaiterais à personne », a écrit Witty dans son témoignage.

Efforts d’assainissement
Witty a en outre décrit leurs actions immédiates pour sécuriser leurs systèmes après l’attaque, les qualifiant de « rapides et énergiques », notant que la menace a été contenue avec succès en supprimant tout malgré la connaissance de l’impact que cela aurait sur les gens.

À la suite de l’attaque, l’équipe informatique de l’organisation a remplacé des milliers d’ordinateurs portables, changé les informations d’identification et complètement reconstruit le réseau du centre de données et les services de base de Change Healthcare en quelques semaines seulement. Witty déclare qu’une telle tâche aurait généralement pris plusieurs mois.

Bien que les échantillons de données qui ont fuité en ligne contenaient des informations de santé protégées (PHI) et des informations personnelles identifiables (PII), Witty note que, jusqu’à présent, ils n’ont vu aucune preuve d’exfiltration de documents tels que les dossiers médicaux ou les antécédents médicaux complets.

En ce qui concerne l’état des services touchés, les réseaux de pharmacies fonctionnent à une fraction de pour cent en dessous de la normale, le flux des demandes de remboursement de frais médicaux presque à des niveaux normaux et le traitement des paiements à environ 86% des niveaux antérieurs à l’incident.

Mise à jour du 30/04/24: Après avoir publié notre article, Alon Gal, directeur technique de Hudson Rock, a déclaré à Breachtrace que le 8 février, la plate-forme de renseignements sur les menaces de l’entreprise a détecté un changement Les informations d’identification Citrix d’un employé de la santé volées par des logiciels malveillants de vol d’informations.

Changement volé Des informations d’identification Citrix pour le Secteur de la Santé

Les informations d’identification volées sont associées à l’URL remoteapps[.] changementsoins de santé[.] avec / vpn / index.htm, et bien que ce site ne soit plus accessible, Breachtrace a confirmé qu’il s’agissait de l’URL de la page de connexion Citrix Gateway de Change Healthcare.

On ignore s’il s’agit des informations d’identification utilisées pour accéder aux réseaux de Change Healthcare et mener l’attaque par ransomware.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *