Šių metų pradžioje išpirkos reikalaujančios programinės įrangos ataka prieš „UnitedHealth“ priklausančią sveikatos technologijų įmonę „Change Healthcare“ greičiausiai yra viena didžiausių JAV sveikatos ir medicinos duomenų pažeidimų istorijoje.
Praėjus mėnesiams po vasario mėnesio duomenų pažeidimo, „didelė dalis Amerikoje gyvenančių žmonių“ paštu gauna pranešimą, kad kibernetiniai nusikaltėliai pavogė jų asmeninę ir sveikatos informaciją per kibernetinę ataką prieš „Change Healthcare“.
„Change Healthcare“ apdoroja šimtų tūkstančių ligoninių, vaistinių ir medicinos praktikų JAV sveikatos priežiūros sektoriuje sąskaitas ir draudimą. Tokiu būdu ji renka ir saugo daugybę labai jautrių medicininių duomenų apie pacientus Jungtinėse Valstijose. Po kelių susijungimų ir įsigijimų „Change“ tapo viena didžiausių JAV sveikatos duomenų tvarkytojų, tvarkodama nuo trečdalio iki pusės visų JAV sveikatos priežiūros operacijų.
Štai kas nutiko nuo ransomware atakos pradžios.
2024 m. vasario 21 d
Pirmasis pranešimas apie gedimus kaip saugumo incidentą
Tai atrodė kaip eilinė trečiadienio popietė, kol to nebuvo. Nutraukimas buvo staigus. Vasario 21 d. nustojo veikti atsiskaitymo sistemos gydytojų kabinetuose ir sveikatos priežiūros įstaigose, o draudimo išmokos buvo sustabdytos. „Change Healthcare“ svetainės būsenos puslapis buvo užtvindytas pranešimų apie gedimus, turinčius įtakos kiekvienai jos verslo daliai, o vėliau tą dieną bendrovė patvirtino, kad „patyrė tinklo pertrūkį, susijusį su kibernetinio saugumo problema“. Akivaizdu, kad kažkas nutiko labai ne taip.
Paaiškėjo, kad „Change Healthcare“ pasinaudojo savo saugos protokolais ir išjungė visą tinklą, kad izoliuotų savo sistemose aptiktus įsibrovėlius. Tai reiškė staigius ir plačiai paplitusius veiklos sutrikimus sveikatos priežiūros sektoriuje, kuris priklauso nuo kelių įmonių, tokių kaip „Change Healthcare“, kurios tvarko sveikatos draudimo ir atsiskaitymo prašymus didelėse JAV dalyse. Vėliau buvo nustatyta, kad įsilaužėliai iš pradžių įsilaužė į bendrovės sistemas daugiau nei savaitę anksčiau, vasario 12 d.
2024 m. vasario 29 d
„UnitedHealth“ patvirtina, kad ją nukentėjo išpirkos reikalaujančių programų gauja
Iš pradžių (ir neteisingai) priskyrusi įsibrovimą įsilaužėliams, dirbantiems vyriausybei ar nacionalinėms valstybėms, vėliau vasario 29 d. UnitedHealth pareiškė, kad kibernetinė ataka iš tikrųjų buvo išpirkos programų gaujos darbas. „UnitedHealth“ teigė, kad gauja „mums prisistatė kaip ALPHV / BlackCat“, tuo metu „TechCrunch“ sakė bendrovės atstovas. Su ALPHV/BlackCat gauja susijusi tamsi žiniatinklio nutekėjimo svetainė taip pat prisiėmė nuopelnus už išpuolį, tvirtindama, kad pavogė milijonus slaptos amerikiečių sveikatos ir pacientų informacijos, o tai pirmą kartą parodo, kiek asmenų paveikė šis incidentas.
ALPHV (dar žinomas kaip „BlackCat“) yra žinoma rusakalbių „ransomware“ kaip paslaugų gauja. Jos filialai – gaujai dirbantys rangovai – įsiveržia į aukų tinklus ir diegia kenkėjiškas programas, kurias sukūrė ALPHV/BlackCat lyderiai, kurie pasiima iš aukų surinktų išpirkų pelno, kad susigrąžintų jų failus.
Žinojimas, kad pažeidimą sukėlė išpirkos reikalaujančių programų gauja, atakos lygtis pasikeitė nuo įsilaužimo, kurį daro vyriausybės – kartais norėdami išsiųsti žinutę kitai vyriausybei, užuot skelbę milijonus žmonių privačios informacijos – į pažeidimą, kurį sukėlė finansiškai motyvuoti kibernetiniai nusikaltėliai. , kurie greičiausiai naudosis visiškai kitokiu žaidimu, kad gautų atlyginimo dieną.
2024 m. kovo 3-5 d
„UnitedHealth“ sumoka 22 milijonų dolerių išpirką įsilaužėliams, kurie vėliau dingsta
Kovo pradžioje ALPHV išpirkos reikalaujančių programų gauja išnyko. Gaujos nutekinimo svetainė tamsiajame internete, kuri prieš kelias savaites buvo pripažinta už kibernetinę ataką, buvo pakeista konfiskavimo pranešimu, kuriame teigiama, kad JK ir JAV teisėsauga panaikino gaujos svetainę. Tačiau tiek FTB, tiek JK valdžios institucijos neigė sunaikinti išpirkos reikalaujančių programų gaują, kaip jos bandė prieš kelis mėnesius. Visi ženklai rodė, kad ALPHV pabėgo su išpirka ir traukia „išeiti iš sukčių“.
Viename įraše ALPHV filialas, įsilaužęs į „Change Healthcare“, teigė, kad ALPHV vadovybė pavogė 22 mln. Tačiau nepaisant to, kad ji prarado dalį išpirkos, filialas teigė, kad pavogti duomenys „vis dar yra su mumis“. „UnitedHealth“ sumokėjo išpirką įsilaužėliams, kurie paliko duomenis ir dingo.
2024 m. kovo 13 d
Plačiai paplitę JAV sveikatos priežiūros sutrikimai, baiminamasi dėl duomenų pažeidimo
Tuo tarpu, praėjus savaitėms po kibernetinės atakos, gedimai vis dar tęsėsi, daugelis negalėjo išsirašyti receptų arba turėjo mokėti grynaisiais iš savo kišenės. Karinio sveikatos draudimo paslaugų teikėjas „TriCare“ teigė, kad nukentėjo ir „visos karinės vaistinės visame pasaulyje“.
Amerikos medicinos asociacija teigė, kad iš „UnitedHealth“ ir „Change Healthcare“ buvo mažai informacijos apie tebesitęsiančius gedimus, kurie sukėlė didžiulius sutrikimus, kurie ir toliau plito visame sveikatos priežiūros sektoriuje.
Iki kovo 13 d. „Change Healthcare“ gavo „saugią“ pavogtų duomenų kopiją, už kurią vos keliomis dienomis anksčiau sumokėjo 22 mln. Tai leido „Change“ pradėti duomenų rinkinio naršymo procesą, kad nustatytų, kieno informacija buvo pavogta per kibernetinę ataką, siekiant pranešti kuo daugiau nukentėjusių asmenų.
2024 m. kovo 28 d
JAV vyriausybė padidina savo atlygį iki 10 mln. USD už informaciją, leidžiančią užfiksuoti ALPHV
Iki kovo pabaigos JAV vyriausybė paskelbė, kad padidins savo dovaną už informaciją apie pagrindinį ALPHV/BlackCat ir jos filialų vadovavimą.
JAV vyriausybė, siūlydama 10 milijonų dolerių kiekvienam, galinčiam identifikuoti ar surasti gaujos asmenis, tikėjosi, kad vienas iš gaujos savininkų atsisuks prieš buvusius jų lyderius. Tai taip pat gali būti vertinama kaip JAV suvokimas, kad internete gali būti paskelbta daug informacijos apie amerikiečių sveikatą.
2024 m. balandžio 15 d
Rangovas sudaro naują išpirkos gaują ir paskelbia kai kuriuos pavogtus sveikatos duomenis
Ir tada buvo du – išpirkos, tai yra. Iki balandžio vidurio nukentėjusysis filialas sukūrė naują turto prievartavimo reketą, pavadintą „RansomHub“, ir kadangi ji vis dar turėjo duomenis, kuriuos pavogė iš „Change Healthcare“, pareikalavo antros išpirkos iš „UnitedHealth“. Tai darydama „RansomHub“ paskelbė dalį pavogtų failų, kuriuose buvo privatūs ir jautrūs pacientų įrašai, kaip jų grėsmės įrodymas.
Ransomware gaujos ne tik šifruoja failus; jie taip pat pavagia kuo daugiau duomenų ir grasina paskelbti failus, jei nebus sumokėta išpirka. Tai žinoma kaip „dvigubas turto prievartavimas“. Kai kuriais atvejais, kai auka sumoka, išpirkos reikalaujančių programų gauja gali vėl prievartauti auką arba, kitais atvejais, prievartauti aukos klientus, vadinamą „trigubu turto prievartavimu“.
Dabar, kai „UnitedHealth“ norėjo sumokėti vieną išpirką, kilo pavojus, kad sveikatos priežiūros milžinas vėl bus išviliotas. Štai kodėl teisėsauga jau seniai pasisakė prieš mokėti išpirką, leidžiančią nusikaltėliams pasipelnyti iš kibernetinių atakų.
2024 m. balandžio 22 d
„UnitedHealth“ teigia, kad išpirkos reikalaujantys įsilaužėliai pavogė „didelės dalies žmonių Amerikoje“ sveikatos duomenis.
Pirmą kartą „UnitedHealth“ balandžio 22 d., praėjus daugiau nei dviem mėnesiams nuo išpirkos reikalaujančios programinės įrangos atakos pradžios, patvirtino, kad įvyko duomenų pažeidimas ir kad jis greičiausiai paveiks „didelę Amerikos žmonių dalį“, nepasakydama, kiek milijonų žmonių reiškia. „UnitedHealth“ taip pat patvirtino, kad sumokėjo išpirką už duomenis, tačiau nepasakė, kiek išpirkų galiausiai sumokėjo.
Bendrovė teigė, kad pavogti duomenys apima labai neskelbtiną informaciją, įskaitant medicininius įrašus ir informaciją apie sveikatą, diagnozes, vaistus, tyrimų rezultatus, vaizdo gavimo ir priežiūros bei gydymo planus ir kitą asmeninę informaciją.
Atsižvelgiant į tai, kad „Change Healthcare“ tvarko duomenis apie maždaug trečdalį visų JAV gyvenančių žmonių, duomenų pažeidimas greičiausiai paveiks daugiau nei 100 milijonų žmonių. „TechCrunch“ pasiekęs „UnitedHealth“ atstovas neginčijo galimo paveikto skaičiaus, tačiau teigė, kad bendrovės duomenų peržiūra tebevyksta.
2024 m. gegužės 1 d
„UnitedHealth Group“ vadovas liudija, kad „Change“ nenaudojo elementaraus kibernetinio saugumo
Galbūt nenuostabu, kai jūsų įmonė patyrė vieną didžiausių duomenų pažeidimų per pastarąją istoriją, jos generalinis direktorius turi būti pakviestas liudyti įstatymų leidėjams.
Taip nutiko „UnitedHealth Group“ (UHG) vadovui Andrew Witty, kuris Capitol Hill pripažino, kad įsilaužėliai įsilaužė į „Change Healthcare“ sistemas naudodami vieną nustatytą slaptažodį vartotojo paskyroje, neapsaugotoje kelių veiksnių autentifikavimu – pagrindine saugos funkcija, kuri gali užkirsti kelią pakartotinio slaptažodžio naudojimo atakoms reikalaudami antro kodo, išsiųsto į to paskyros savininko telefoną.
Pagrindinis pranešimas buvo vienas didžiausių duomenų pažeidimų JAV istorijoje, kurio buvo visiškai išvengta. Witty teigė, kad duomenų pažeidimas greičiausiai paveiks maždaug trečdalį Amerikoje gyvenančių žmonių – pagal ankstesnius bendrovės vertinimus, kad pažeidimas paveikia maždaug tiek žmonių, kuriems „Change Healthcare“ apdoroja sveikatos priežiūros prašymus.
2024 m. birželio 20 d
UHG pradeda pranešti nukentėjusioms ligoninėms ir medicinos paslaugų teikėjams, kokie duomenys buvo pavogti
„Change Healthcare“ prireikė iki birželio 20 d., kad pradėtų oficialiai informuoti nukentėjusius asmenis, kad jų informacija buvo pavogta, kaip teisiškai reikalaujama pagal įstatymą, paprastai žinomą kaip HIPAA. Tikėtina, kad tai iš dalies užtruko dėl didžiulio pavogto duomenų rinkinio dydžio.
Bendrovė paskelbė pranešimą, kuriame atskleidė duomenų pažeidimą, ir pranešė, kad pradės informuoti asmenis, kuriuos nurodė „saugioje“ pavogtų duomenų kopijoje. Tačiau „Change“ teigė, kad „negali tiksliai patvirtinti“, kokie duomenys buvo pavogti apie kiekvieną asmenį, ir kad informacija kiekvienam asmeniui gali skirtis. „Change“ teigia, kad paskelbė pranešimą savo svetainėje, nes „gali neturėti pakankamai adresų visiems paveiktiems asmenims“.
Incidentas buvo toks didelis ir sudėtingas, kad įsikišo JAV sveikatos ir žmogiškųjų paslaugų departamentas ir pareiškė, kad nukentėjusieji sveikatos priežiūros paslaugų teikėjai, kurių pacientus galiausiai paveikė pažeidimas, gali paprašyti „UnitedHealth“ pranešti nukentėjusiems pacientams jų vardu. našta mažesniems paslaugų teikėjams, kurių finansai nukentėjo dėl nuolatinio veiklos nutraukimo.
2024 m. liepos 29 d
„Change Healthcare“ pradeda laišku informuoti žinomus paveiktus asmenis
Sveikatos technologijų milžinė birželio pabaigoje patvirtino, kad pradės nuolat informuoti tuos, kurių sveikatos priežiūros duomenys buvo pavogti per jos išpirkos reikalaujančios programos ataką. Šis procesas prasidėjo liepos pabaigoje.
Laiškai nukentėjusiems asmenims greičiausiai bus išsiųsti iš „Change Healthcare“, jei ne konkretus sveikatos priežiūros paslaugų teikėjas, kurį paveikė „Change“ įsilaužimas. Laiške patvirtinama, kokie duomenys buvo pavogti, įskaitant medicininius duomenis ir sveikatos draudimo informaciją, taip pat pretenzijų ir mokėjimo informaciją, kuri, anot „Change“, apima finansinę ir bankinę informaciją.