UnitedHealth a révélé que 190 millions d’Américains se sont fait voler leurs données personnelles et de santé lors de l’attaque du ransomware Change Healthcare, soit près du double du chiffre précédemment divulgué.
En octobre, UnitedHealth a signalé au Bureau des Droits civils du Département américain de la Santé et des Services sociaux que l’attaque avait touché 100 millions de personnes. Cependant, comme indiqué pour la première fois par TechCrunch, UnitedHealth a confirmé vendredi que ce chiffre avait presque doublé pour atteindre 190 millions.
« Change Healthcare a déterminé que le nombre total estimé de personnes touchées par la cyberattaque Change Healthcare est d’environ 190 millions », a déclaré UnitedHealth Group à TechCrunch.
« La grande majorité de ces personnes ont déjà reçu un préavis individuel ou de remplacement. Le numéro définitif sera confirmé et déposé auprès du Bureau des droits civils à une date ultérieure. »
Alors que UnitedHealth affirme qu’il n’y a aucune indication que les acteurs de la menace ont mal utilisé les données volées, la quantité d’informations sensibles volées lors de l’attaque est énorme.
Ces données volées comprennent les informations d’assurance maladie des patients, les dossiers médicaux, les informations de facturation et de paiement et les informations personnelles sensibles, telles que les numéros de téléphone, les adresses et, dans certains cas, les numéros de sécurité sociale et les numéros d’identification du gouvernement.
L’attaque par ransomware contre la filiale de UnitedHealth, Change Healthcare, est la plus grande violation de données de santé de l’histoire des États-Unis.
L’attaque ransomware Change Healthcare
En février 2024, la filiale de UnitedHealth Change Healthcare a subi une attaque massive de ransomware, entraînant une perturbation généralisée du système de santé américain.
Cette perturbation a empêché les médecins et les pharmacies de déposer des réclamations et les pharmacies d’accepter des cartes d’ordonnance à rabais, obligeant les patients à payer le plein prix des médicaments.
On a appris plus tard que le gang de ransomwares BlackCat, alias ALPHV, était à l’origine de l’attaque. Les auteurs de la menace ont utilisé des informations d’identification volées pour violer le service d’accès à distance Citrix de l’entreprise, pour lequel l’authentification multifacteur n’était pas activée.
Après avoir violé le réseau, les auteurs de la menace ont volé 6 To de données et d’ordinateurs cryptés, obligeant l’entreprise à fermer ses systèmes informatiques et ses plateformes en ligne pour la facturation, les réclamations et l’exécution des ordonnances.
Le groupe UnitedHealth a confirmé plus tard qu’il avait payé une rançon pour recevoir un déchiffreur et pour empêcher les acteurs de la menace de publier publiquement les données volées. Ce paiement de rançon aurait été de 22 millions de dollars, selon l’affilié du ransomware BlackCat qui a mené l’attaque.
Ce paiement de rançon était censé être partagé entre l’affilié et les opérateurs de ransomware, mais le BlackCat s’est soudainement arrêté dans une arnaque de sortie, volant l’intégralité du paiement pour lui-même.
C’est là que la situation a empiré pour UnitedHealth, car l’acteur menaçant à l’origine de l’attaque a déclaré qu’il n’avait pas supprimé les données volées comme promis.
L’attaquant s’est ensuite associé à une nouvelle opération de ransomware nommée RansomHub et a commencé à divulguer certaines des données volées, exigeant un paiement supplémentaire pour que les données ne soient pas publiées.
Quelques jours plus tard, l’entrée Change Healthcare sur le site de fuite de données de RansomHub a mystérieusement disparu, indiquant que United Health a probablement payé une deuxième demande de rançon.
UnitedHealth a déclaré en avril que l’attaque du ransomware Change Healthcare avait causé des pertes de 872 millions de dollars, qui ont augmenté dans le cadre des bénéfices du Troisième trimestre 2024 pour atteindre 2,45 milliards de dollars attendus pour les neuf mois précédant le 30 septembre 2024,