Informazioni sensibili e sanitarie di una vasta parte della popolazione americana potrebbero essere state rubate da cybercriminali nel corso dell’attacco a Change Healthcare.
Nel corso del mese di febbraio, Change Healthcare, un attore di spicco nel settore sanitario americano, è stata vittima di un attacco informatico. Gli aggressori cibernetici sono riusciti a accedere a una serie di dati sensibili altamente riservati, potenzialmente di un’ampia fetta di popolazione negli Stati Uniti.
Tale realtà è emersa a seguito della divulgazione di alcune schermate che mostravano informazioni presumibilmente estratte dai circa 4 terabyte di dati di Change Healthcare. Tali schermate furono pubblicate il 7 aprile sul sito web gestito da RansomHub, una piattaforma dedicata alla compravendita di dati precedentemente compromessi o per condurre attacchi diretti.
Le schermate pubblicate includevano presunti accordi di partenariato tra Change Healthcare e altre società, fatture, dati delle richieste Medicare, registri pazienti individuali e altro materiale. La lista di elementi collegabili a Change Healthcare su RansomHub è stata successivamente rimossa, pur senza una spiegazione ufficiale del motivo.
Dopo l’attacco iniziale, a febbraio, Change Healthcare aveva riconosciuto di aver pagato un riscatto “come parte dell’impegno aziendale volto a proteggere i dati dei propri pazienti”.
L’utilizzo della piattaforma RansomHub da parte dell’azienda, tuttavia, non è chiaro. La situazione si è aggiunta ai già accesi dibattiti riguardanti la gestione dei dati riservati da parte di Change Healthcare e il potenziale rischio sistemico che la dominante posizione di UnitedHealth Group, società madre di Change Healthcare, potrebbe rappresentare per l’industria sanitaria statunitense.
Precedentemente, UnitedHealth Group aveva stimato l’impatto finanziario dell’attacco informatico a Change Healthcare ammontante a una perdita di 872 milioni di dollari, con possibilità di superare il miliardo di dollari.
Ulteriori dettagli dell’attacco sono stati forniti dal Wall Street Journal che ha riportato come i criminali informatici siano riusciti ad accedere alle reti di Change Healthcare il 12 febbraio, più di una settimana prima dell’annuncio pubblico dell’attacco, utilizzando credenziali compromesse di un’applicazione che permette al personale di accedere in remoto ai sistemi.
Il sito di ransomware di ALPHV ha momentaneamente rivendicato la responsabilità per l’attacco. L’amministrazione del sito avrebbe raccolto un pagamento del riscatto di 22 milioni di dollari il 1° marzo, prima di pubblicare una falsa notifica di sequestro da parte delle forze dell’ordine e di annunciarne la chiusura. I fondi raccolti sono stati trasferiti in vari account di criptovaluta nel corso di marzo, dando l’impressione che gli autori dell’attacco volessero mascherare la destinazione finale del denaro.
Successivamente al sequestro graduale dell’attacco, una figura conosciuta come “notchy”, ha dichiarato di aver effettivamente condotto l’attacco utilizzando la piattaforma di ALPHV e di aver ricevuto il pagamento del riscatto. “Notchy” ha affermato di essere in possesso di 4 terabyte di dati, anche se non era chiaro se avesse condiviso queste informazioni su RansomHub.
- Stolen Change Healthcare data could contain information on ‘a substantial portion’ of Americans – CyberScoop
- UnitedHealth Group Updates on Change Healthcare Cyberattack
- Oversight Hearing on Change Healthcare Attack
- Change Healthcare, UnitedHealth Ransomware Hearing – CyberScoop
- Change Healthcare Hackers Broke In Nine Days Before Ransomware Attack – Wall Street Journal