O ataque de ransomware em fevereiro na Change Healthcare resultou no vazamento de números de Seguro Social, além de informações de faturamento e saúde.
A seguradora UnitedHealth Group confirmou que um ataque de ransomware no início deste ano afetou os dados privados de mais de 100 milhões de pessoas. O número foi publicado no Relatório de Violações do Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos EUA (OCR) na quinta-feira, tornando-se a maior violação de dados de saúde na lista.
O grupo de hackers Blackcat, também conhecido como ALPHV, assumiu a responsabilidade pelo ataque de fevereiro à Change Healthcare, que causou interrupções generalizadas para os prestadores de serviços de saúde no processamento de contas, reivindicações, folha de pagamento e prescrições por semanas.
De acordo com a página de perguntas frequentes do HHS, a Change Healthcare informou ao OCR em 22 de outubro que enviou cerca de 100 milhões de notificações individuais sobre essa violação.
As informações roubadas podem incluir:
Informações sobre seguro saúde (como planos/políticas de saúde primários, secundários ou outros, companhias de seguros, números de ID de membro/grupo e números de ID de pagador do Medicaid-Medicare-governo);
Informações de saúde (como números de registro médico, prestadores, diagnósticos, medicamentos, resultados de testes, imagens, cuidados e tratamento);
Informações de faturamento, reivindicações e pagamento (como números de reivindicação, números de conta, códigos de faturamento, cartões de pagamento, informações financeiras e bancárias, pagamentos realizados e saldo devedor); e/ou
Outras informações pessoais, como números de Seguro Social, carteiras de motorista ou números de identificação estadual, ou números de passaporte.
Como relatado pelo Bleeping Computer, o testemunho por escrito do CEO da UnitedHealth, Andrew Witty, a um comitê da Câmara disse que os agentes de ameaças entraram usando credenciais roubadas para um serviço de acesso remoto Citrix que não tinha autenticação multifatorial.
Em 12 de fevereiro, criminosos usaram credenciais comprometidas para acessar remotamente um portal Citrix da Change Healthcare, um aplicativo usado para habilitar o acesso remoto a desktops. O portal não possuía autenticação multifatorial. Assim que o agente de ameaça obteve acesso, ele se moveu lateralmente dentro dos sistemas de maneiras mais sofisticadas e exfiltrou dados. O ransomware foi implantado nove dias depois.
A UnitedHealth pagou ao grupo um resgate de 22 milhões de dólares. No entanto, outra operação ameaçou continuar vazando os dados e pode ter assegurado um segundo pagamento de resgate.