Une cyberattaque contre Optum, filiale du groupe UnitedHealth, qui a entraîné une panne en cours affectant la plate-forme d’échange de paiements Change Healthcare, a été liée au groupe de ransomwares BlackCat par des sources proches de l’enquête.

Change Healthcare a averti mercredi ses clients que certains de ses services étaient hors ligne en raison d’un incident de cybersécurité. Un jour plus tard, UnitedHealth Group a déclaré dans un dossier SEC 8-K que la cyberattaque avait été coordonnée par des pirates présumés de « l’État-nation » qui avaient eu accès aux systèmes informatiques de Change Healthcare.

L’arrêt de Change Healthcare a entraîné des pannes de facturation généralisées, car la plate-forme est largement utilisée dans le système de santé américain par les systèmes de dossiers de santé électroniques (DSE), de traitement des paiements, de coordination des soins et d’analyse des données dans les hôpitaux, les cliniques et les pharmacies.

Depuis lors, Optum fournit des mises à jour quotidiennes sur les incidents sur une page d’état dédiée, avertissant que les systèmes de Change Healthcare sont toujours hors ligne pour éviter tout impact supplémentaire et contenir la violation, la panne affectant actuellement la plupart des services.

« Nous avons un haut niveau de confiance dans le fait qu’Optum, UnitedHealthcare et UnitedHealth Group Systems n’ont pas été affectés par ce problème », déclare Optum.

« Nous travaillons sur plusieurs approches pour restaurer l’environnement affecté et nous ne prendrons aucun raccourci ni ne prendrons aucun risque supplémentaire lorsque nous remettrons nos systèmes en ligne. »

Liens de chat noir
Depuis que l’attaque a touché ses systèmes, ChangeHealthcare a effectué des appels Zoom avec des partenaires du secteur de la santé pour fournir des mises à jour sur la cyberattaque.

L’une des personnes impliquées dans ces appels a déclaré à Breachtrace que l’attaque était liée au gang de ransomwares BlackCat (ALPHV) par des experts médico-légaux impliqués dans la réponse à l’incident (Reuters a d’abord rapporté le lien Blackcat lundi).

Une autre source a déclaré vendredi à Breachtrace que l’un des indicateurs de compromission est une faille critique de contournement d’authentification ScreenConnect (CVE-2024-1709) activement exploitée dans des attaques pour déployer des ransomwares sur des serveurs non corrigés.

Breachtrace n’a pas été en mesure de confirmer de manière indépendante les affirmations des sources.

Au moment de cette publication, BlackCat n’avait pas encore revendiqué l’attaque contre Change Healthcare, indiquant qu’ils étaient peut-être encore en train d’essayer d’extorquer une rançon.

United Health Group (UHG) est une compagnie d’assurance maladie présente dans les 50 États américains qui a des contrats avec plus de 1,6 million de médecins et de professionnels de la santé, ainsi que 8 000 hôpitaux et autres établissements de soins.

UHG emploie 440 000 personnes dans le monde et est la plus grande entreprise de soins de santé au monde en termes de chiffre d’affaires (324,2 milliards de dollars en 2022).

Optum Solutions, sa filiale, exploite la plateforme Change Healthcare, la plus grande plateforme d’échange de paiements reliant les médecins, les pharmacies, les prestataires de soins de santé et les patients du système de santé américain.

Les porte-parole de UnitedHealth Group et d’Optum n’étaient pas immédiatement disponibles pour commenter lorsque Breachtrace a demandé confirmation de l’attaque du ransomware BlackCat.

Un représentant de BlackCat n’a pas répondu à la demande de commentaires de Breachtrace avant la publication de cet article.

Qui est BlackCat / ALPHV?
BlackCat a fait surface en novembre 2021 en tant que changement de nom présumé des opérations de ransomware DarkSide et BlackMatter.

DarkSide a rapidement acquis une notoriété mondiale après l’attaque du pipeline colonial, ce qui a entraîné des enquêtes approfondies par les forces de l’ordre du monde entier et l’opération a dû subir deux autres changements de marque.

Le FBI a lié BlackCat à plus de 60 violations au cours de ses quatre premiers mois d’activité entre novembre 2021 et mars 2022. Il estime également que BlackCat a récolté au moins 300 millions de dollars de rançons de plus de 1 000 victimes jusqu’en septembre 2023.

Les opérations du gang ont été perturbées en décembre, le FBI supprimant temporairement ses sites de négociation et de fuite Tor après avoir piraté ses serveurs et créé un outil de décryptage à l’aide des clés collectées pendant l’intrusion de plusieurs mois.

BlackCat a depuis « désinscrit » son site de fuite à l’aide de clés privées qu’il possédait toujours et exploite maintenant un nouveau site de fuite Tor que le FBI n’a pas encore supprimé.

Alors que le dépôt auprès de la SEC du Groupe UnitedHealth indique qu’un acteur menaçant de l’État-nation est à l’origine de l’attaque, BlackCat n’a été publiquement lié à aucune agence gouvernementale étrangère.

Le département d’État américain offre des récompenses allant jusqu’à 10 millions de dollars pour des conseils menant à l’identification ou à la localisation des chefs de gangs ALPHV et 5 millions de dollars pour des informations sur des personnes liées aux attaques de ransomware BlackCat.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *