Le groupe UnitedHealth a confirmé avoir payé une rançon à des cybercriminels pour protéger les données sensibles volées lors de l’attaque du ransomware Optum fin février.

L’attaque a entraîné une panne qui a eu un impact sur le changement de paiement des soins de santé, affectant une gamme de services essentiels utilisés par les prestataires de soins de santé et les pharmacies à travers les États-Unis, y compris le traitement des paiements, la rédaction d’ordonnances et les réclamations d’assurance.

Le gang de ransomwares BlackCat/ALPHV a revendiqué l’attaque, alléguant avoir volé 6 To de données sensibles sur les patients. Début mars, BlackCat a effectué une arnaque de sortie après avoir prétendument obtenu une rançon de 22 millions de dollars de UnitedHealth.

Une semaine plus tard, le gouvernement américain a lancé une enquête pour savoir si des données de santé avaient été volées lors de l’attaque par ransomware chez Optum.

À la mi-avril, le groupe d’extorsion RansomHub a encore accru la pression sur UnitedHealth en commençant à divulguer ce qu’ils prétendaient être des données d’entreprise et de patients volées lors de l’attaque.

Le lendemain, l’organisation a signalé que la cyberattaque avait causé 872 millions de dollars de dommages financiers.

Données volées, rançon payée
Dans une déclaration pour Breachtrace, la société a confirmé avoir payé une rançon pour éviter que les données des patients ne soient vendues à des cybercriminels ou divulguées publiquement.

« Une rançon a été payée dans le cadre de l’engagement de l’entreprise à faire tout son possible pour protéger les données des patients contre la divulgation » – UnitedHealth Group

Breachtrace a vérifié le site Web de fuite de données de RansomHub et peut confirmer que l’auteur de la menace a supprimé UnitedHealth de sa liste de victimes.

Hier, UnitedHealth a publié une mise à jour sur son site Web annonçant la prise en charge des personnes dont les données avaient été exposées par l’attaque de ransomware de février, confirmant officiellement l’incident de violation de données.

“Sur la base d’un échantillonnage initial de données ciblées à ce jour, la société a trouvé des fichiers contenant des informations de santé protégées (PHI) ou des informations personnellement identifiables (PII), qui pourraient couvrir une proportion substantielle de personnes en Amérique”, lit-on dans l’annonce.

“À ce jour, la société n’a vu aucune preuve d’exfiltration de documents tels que les dossiers médicaux ou les antécédents médicaux complets parmi les données”, indique la société.

La société rassure les patients que seules 22 captures d’écran de fichiers volés, certaines contenant des informations personnellement identifiables, ont été publiées sur le dark Web, et qu’aucune autre donnée exfiltrée lors de l’attaque n’a été publiée « pour le moment. »

L’organisation d’assurance maladie et de services a promis d’envoyer des notifications personnalisées une fois qu’elle aura terminé son enquête sur le type d’informations compromises.

Un centre d’appels dédié qui offrira deux ans de services gratuits de surveillance du crédit et de protection contre le vol d’identité a également été mis en place dans le cadre des efforts de l’organisation pour soutenir les personnes touchées.

À l’heure actuelle, 99% des services touchés sont opérationnels, le flux des demandes de remboursement de frais médicaux est proche de la normale et le traitement des paiements s’élève à environ 86%.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *