Un ataque de ransomware a principios de este año contra la empresa de tecnología sanitaria Change Healthcare, propiedad de UnitedHealth, probablemente sea una de las mayores filtraciones de datos médicos y de salud de EE. UU. en la historia.
Meses después de la filtración de datos de febrero, una “proporción sustancial de personas que viven en Estados Unidos” reciben una notificación por correo de que los ciberdelincuentes robaron su información personal y de salud durante el ciberataque a Change Healthcare. Al menos Actualmente se sabe que 100 millones de personas están afectadas por el incumplimiento.
Change Healthcare procesa facturación y seguros para cientos de miles de hospitales, farmacias y consultorios médicos en todo el sector sanitario de EE. UU. Como tal, recopila y almacena grandes cantidades de datos médicos altamente confidenciales sobre pacientes en los Estados Unidos. A través de una serie de fusiones y adquisiciones, Change se convirtió en uno de los mayores procesadores de datos de salud de EE. UU., manejando entre un tercio y la mitad de todas las transacciones de salud de EE. UU.
Esto es lo que ha sucedido desde que comenzó el ataque de ransomware.
21 de febrero de 2024
Primer informe de interrupciones a medida que surge un incidente de seguridad
Parecía una tarde de miércoles cualquiera, hasta que dejó de serlo. El corte fue repentino. El 21 de febrero, los sistemas de facturación en los consultorios médicos y consultorios de atención médica dejaron de funcionar y las reclamaciones de seguros dejaron de procesarse. La página de estado en el sitio web de Change Healthcare se vio inundada de notificaciones de interrupciones que afectaron a todos los aspectos de su negocio y, más tarde, ese mismo día, la empresa confirmó que estaba “experimentando una interrupción de la red relacionada con un problema de seguridad cibernética”. Era evidente que algo había salido muy mal.
Resulta que Change Healthcare invocó sus protocolos de seguridad y cerró toda su red para aislar a los intrusos que encontró en sus sistemas. Eso significaba Interrupciones repentinas y generalizadas en todo el sector de la salud. que depende de un puñado de empresas, como Change Healthcare, para manejar los seguros médicos y las reclamaciones de facturación en amplias zonas de Estados Unidos. Más tarde se determinó que los piratas informáticos irrumpieron inicialmente en los sistemas de la empresa más de una semana antes, alrededor del 12 de febrero.
29 de febrero de 2024
UnitedHealth confirma que fue atacada por una banda de ransomware
Después inicialmente (e incorrectamente) atribuyéndole Tras la intrusión a los piratas informáticos que trabajan para un gobierno o un estado-nación, UnitedHealth dijo más tarde el 29 de febrero que el ciberataque fue en realidad obra de una banda de ransomware. UnitedHealth dijo que la pandilla “se presentó ante nosotros como ALPHV/BlackCat” dijo un portavoz de la compañía a TechCrunch en ese momento. Un sitio de filtración de la web oscura asociado con la pandilla ALPHV/BlackCat también se atribuyó el mérito del ataque, afirmando haber robado millones de información confidencial de salud y pacientes de estadounidenses, dando la primera indicación de a cuántas personas había afectado este incidente.
ALPHV (también conocido como BlackCat) es una conocida banda de ransomware como servicio de habla rusa. Sus afiliados (contratistas que trabajan para la pandilla) irrumpen en las redes de las víctimas e implementan malware desarrollado por los líderes de ALPHV/BlackCat, quienes se quedan con una parte de las ganancias recaudadas de los rescates cobrados a las víctimas para recuperar sus archivos.
Saber que la infracción fue causada por una banda de ransomware cambió la ecuación del ataque del tipo de piratería que realizan los gobiernos (a veces para enviar un mensaje a otro gobierno en lugar de publicar información privada de millones de personas) a una infracción causada por ciberdelincuentes con motivación financiera. , quienes probablemente emplearán un manual completamente diferente para obtener su día de pago.
3-5 de marzo de 2024
UnitedHealth paga un rescate de 22 millones de dólares a piratas informáticos, que luego desaparecen
A principios de marzo, la banda de ransomware ALPHV desapareció. El sitio de filtración de la pandilla en la web oscura, que semanas antes se atribuyó el mérito del ciberataque, fue reemplazado por un aviso de incautación que afirmaba que las fuerzas del orden del Reino Unido y Estados Unidos habían cerrado el sitio de la pandilla. Pero tanto el FBI como las autoridades del Reino Unido negaron haber acabado con la banda de ransomware. habían intentado meses antes. Todas las señales apuntaban a que ALPHV se había escapado con el rescate y estaba realizando una “estafa de salida”.
En una publicación, el afiliado de ALPHV que llevó a cabo el ataque a Change Healthcare afirmó que el liderazgo de ALPHV robó 22 millones de dólares pagados como rescate e incluyó un enlace a una sola transacción de bitcoin el 3 de marzo como prueba de su reclamo. Pero a pesar de perder su parte del pago del rescate, el afiliado dijo que los datos robados “todavía están con nosotros”. UnitedHealth había pagado un rescate a los piratas informáticos que dejaron los datos y desaparecieron.
13 de marzo de 2024
Interrupción generalizada en la atención médica de EE. UU. en medio de temores de violación de datos
Mientras tanto, semanas después del ciberataque, las interrupciones seguían en curso con muchos no pueden obtener sus recetas llena o tener que pagar en efectivo de su bolsillo. El proveedor de seguros médicos militares TriCare dijo que “todas las farmacias militares del mundo” también se vieron afectadas.
La Asociación Médica Americana fue diciendo que había poca información de UnitedHealth y Change Healthcare sobre los cortes en curso, que causan una interrupción masiva que continuó repercutiendo en todo el sector de la salud.
El 13 de marzo, Change Healthcare había recibido una copia “segura” de los datos robados por la que apenas unos días antes había pagado 22 millones de dólares. Esto permitió a Change comenzar el proceso de examinar minuciosamente el conjunto de datos para determinar de quién fue la información robada en el ciberataque, con el objetivo de notificar a la mayor cantidad posible de personas afectadas.
28 de marzo de 2024
El gobierno de EE. UU. aumenta su recompensa a 10 millones de dólares por información que conduzca a la captura del ALPHV
A finales de marzo, el gobierno de Estados Unidos dijo que estaba aumentando su recompensa por información sobre dirigentes clave de ALPHV/BlackCat y sus afiliados.
Ofreciendo 10 millones de dólares a cualquiera que puede identificar o localizar a los individuos detrás de la pandillael gobierno de Estados Unidos parecía esperar que uno de los miembros de la pandilla se volviera contra sus antiguos líderes. También podría verse como que Estados Unidos se da cuenta de la amenaza de que un número significativo de información sobre la salud de los estadounidenses se publique potencialmente en línea.
15 de abril de 2024
Un contratista forma una nueva banda de rescate y publica algunos datos de salud robados
Y luego hubo dos: rescates, claro está. A mediados de abril, el afiliado agraviado creó una nueva red de extorsión llamada RansomHub y, como todavía tenía los datos que robó de Change Healthcare, exigió un segundo rescate a UnitedHealth. Al hacerlo, RansomHub publicó una parte de los archivos robados que contenía lo que parecían ser registros privados y confidenciales de pacientes como prueba de su amenaza.
Las bandas de ransomware no se limitan a cifrar archivos; También roban la mayor cantidad de datos posible y amenazan con publicar los archivos si no se paga el rescate. Esto se conoce como “doble extorsión”. En algunos casos, cuando la víctima paga, el grupo de ransomware puede extorsionarla nuevamente o, en otros, extorsionar a los clientes de la víctima, lo que se conoce como “triple extorsión”.
Ahora que UnitedHealth estaba dispuesto a pagar un rescate, existía el riesgo de que el gigante de la salud volviera a ser extorsionado. Es por eso que las fuerzas del orden han abogado durante mucho tiempo contra el pago de un rescate que permita a los delincuentes beneficiarse de los ciberataques.
22 de abril de 2024
UnitedHealth dice que los piratas informáticos de ransomware robaron datos de salud de una “proporción sustancial de personas en Estados Unidos”
Por primera vez, UnitedHealth confirmó el 22 de abril (más de dos meses después de que comenzara el ataque de ransomware) que hubo una violación de datos y que probablemente afecta a una “proporción sustancial de personas en Estados Unidos”, sin decir cuántos millones de personas eso implica. UnitedHealth también confirmó que pagó un rescate por los datos, pero no dijo cuántos rescates pagó finalmente.
La compañía dijo que los datos robados incluyen información altamente confidencial, incluidos registros médicos e información de salud, diagnósticos, medicamentos, resultados de pruebas, imágenes y planes de atención y tratamiento, y otra información personal.
Dado que Change Healthcare maneja datos de aproximadamente un tercio de todos los que viven en los Estados Unidos, es probable que la violación de datos afecte al menos a más de 100 millones de personas. Cuando TechCrunch lo contactó, un portavoz de UnitedHealth no cuestionó el número probablemente afectado, pero dijo que la revisión de datos de la compañía estaba en curso.
1 de mayo de 2024
El director ejecutivo de UnitedHealth Group testifica que Change no estaba utilizando la ciberseguridad básica
Quizás no sea sorprendente que, cuando su empresa haya sufrido una de las mayores violaciones de datos de la historia reciente, su director ejecutivo sea llamado a testificar ante los legisladores.
Eso es lo que pasó con el director ejecutivo de UnitedHealth Group (UHG), Andrew Witty, quien en el Capitolio admitió que los piratas informáticos irrumpieron en los sistemas de Change Healthcare. usar una única contraseña establecida en una cuenta de usuario no protegida con autenticación multifactoruna característica de seguridad básica que puede prevenir ataques de reutilización de contraseñas al requerir que se envíe un segundo código al teléfono del titular de la cuenta.
uno de las mayores filtraciones de datos en la historia de Estados Unidos fue totalmente evitable, fue el mensaje clave. Witty dijo que es probable que la violación de datos afecte a aproximadamente un tercio de las personas que viven en Estados Unidos, en línea con las estimaciones anteriores de la compañía de que la violación afecta a aproximadamente la misma cantidad de personas para las que Change Healthcare procesa reclamos de atención médica.
20 de junio de 2024
UHG comienza a notificar a los hospitales y proveedores médicos afectados qué datos fueron robados
Change Healthcare tardó hasta el 20 de junio para comenzar a notificar formalmente a las personas afectadas que su información fue robada, como lo exige legalmente una ley comúnmente conocida como HIPAA, probablemente retrasada en parte por el gran tamaño del conjunto de datos robado.
La empresa publicó un aviso revelando la violación de datos y dijo que comenzaría a notificar a las personas que había identificado en la copia “segura” de los datos robados. Pero Change dijo que “no puede confirmar exactamente” qué datos fueron robados sobre cada individuo y que la información puede variar de persona a persona. Change dice que estaba publicando el aviso en su sitio web, ya que “puede que no tenga direcciones suficientes para todas las personas afectadas”.
El incidente fue tan grande y complejo que el Departamento de Salud y Servicios Humanos de EE. UU. intervino y dijo que los proveedores de atención médica afectados, cuyos pacientes se ven afectados en última instancia por la infracción, pueden solicitar a UnitedHealth que notifique a los pacientes afectados en su nombre, un esfuerzo que se considera para aliviar la carga de los proveedores más pequeños cuyas finanzas se vieron afectadas en medio de la interrupción en curso.
29 de julio de 2024
Change Healthcare comienza a notificar por carta a las personas afectadas conocidas
El gigante de la tecnología sanitaria confirmó a finales de junio que comenzaría a notificar a aquellos cuyos datos de atención médica fueron robados en su ataque de ransomware de forma continua. Ese proceso comenzó a finales de julio.
Las cartas enviadas a las personas afectadas probablemente provendrán de Change Healthcare, si no del proveedor de atención médica específico afectado por el ataque a Change. La carta confirma qué tipo de datos fueron robados, incluidos datos médicos e información de seguros médicos, e información de reclamos y pagos, que según Change incluye información financiera y bancaria.
24 de octubre de 2024
UnitedHealth confirma que al menos 100 millones de personas se ven afectadas por la violación de datos
El gigante de los seguros médicos tardó más de ocho meses en anunciarlo, pero ahora ha confirmado que la filtración de datos afecta a más de 100 millones de personas. Se espera que el número de afectados aumente, dado que algunos han recibido notificaciones de violación de datos en octubre. El Departamento de Salud y Servicios Humanos de EE. UU. informó el número actualizado en su portal de violación de datos el 24 de octubre.
Tal como están las cosas, la filtración de datos en Change Healthcare es ahora el mayor robo digital de registros médicos de EE. UU., y una de las mayores filtraciones de datos de la historia viva.
