CareFirst BlueCross BlueShield mercredi, a déclaré avoir été victime d’une violation de données qui a compromis les informations personnelles d’environ 1,1 million de clients. Il y a des indications que les mêmes méthodes d’attaque peuvent avoir été utilisées dans cette intrusion que pour les violations à Hymne et Premerades incidents impliquant collectivement des données sur plus de 90 millions d’Américains.
Selon une déclaration CareFirst publié mercredi, les attaquants ont eu accès aux noms, dates de naissance, adresses e-mail et numéros d’identification d’assurance. La société a déclaré que la base de données ne comprenait pas les numéros de sécurité sociale ou de carte de crédit, les mots de passe ou les informations médicales. Néanmoins, CareFirst offre une surveillance du crédit et une protection contre le vol d’identité pendant deux ans.
Personne ne pointe officiellement du doigt les parties considérées comme responsables de cette dernière violation de l’industrie de la santé, mais il existe des indices impliquant les mêmes acteurs chinois parrainés par l’État que l’on pense être impliqués dans les attaques d’Anthem et de Premera.
Comme je l’ai noté dans cet article du 9 février 2015, Anthem a été violé peu de temps après la mise en place d’une campagne de logiciels malveillants qui imitait les noms de domaine d’Anthem au moment de la violation. Avant son changement de nom officiel fin 2014, Anthem était connu sous le nom de Wellpoint. Chercheurs en sécurité dans une entreprise de cybersécurité Threat Connect Inc. avait découvert une série de sous-domaines pour we11point[dot]com (notez que les « L » dans le domaine ont été remplacés par le chiffre « 1 ») – y compris myhr.we11point[dot]com et hrsolutions.we11point[dot]com.
ThreatConnect a également découvert que les domaines avaient été enregistrés en avril 2014 (à peu près au moment où la violation d’Anthem a commencé) et que les domaines étaient utilisés conjointement avec des logiciels malveillants conçus pour imiter un outil logiciel que de nombreuses organisations utilisent couramment pour permettre aux employés d’accéder à distance aux données internes. réseaux.
Le 27 février 2015, ThreatConnect publié plus d’informations lier les mêmes acteurs de la menace et le même modus operandi à un domaine appelé « prendrera[dot]com» (notez l’utilisation du double « n » ici pour imiter la lettre « m »).
« On croit que la prisera[dot]com peut avoir usurpé l’identité du fournisseur de soins de santé Croix bleue de Premeraoù les attaquants ont utilisé la même technique de remplacement de caractère en remplaçant le « m » par deux caractères « n » dans le faux domaine, la même technique qui serait vue cinq mois plus tard avec le we11point[dot]com command and control infrastructure », a observé ThreatConnect dans un article de blog de février 2015.
Il s’avère que le même registrant en masse en Chine qui a enregistré les faux domaines Premera et Anthem en avril 2014 a également enregistré deux domaines similaires à Carefirst — attention[dot]com (le « i » remplacé par un « L ») et soins d’abord[dot]com (le « i » remplacé par le chiffre « 1 »).
De plus, ThreatConnect a des preuves découvertes montrant que les mêmes tactiques ont été utilisées sur EmpireB1ue.com (notez le « L » remplacé par un chiffre « 1 »), un domaine enregistré le 11 avril 2014 (le même jour que les faux domaines Carefirst). EmpireBleu BleuCroix BleuBouclier était one des organisations impactées par la violation d’Anthem.