Um ciberataque à subsidiária do UnitedHealth Group, a Optum, que levou a uma interrupção contínua impactando a plataforma de pagamento do Change Healthcare, foi relacionado ao grupo de ransomware BlackCat por fontes familiarizadas com a investigação.
A Change Healthcare alertou seus clientes na quarta-feira que alguns de seus serviços estão offline devido a um incidente de segurança cibernética.
Um dia depois, o UnitedHealth Group disse em um arquivo SEC 8-K que o ciberataque foi coordenado por supostos hackers "de estado-nação" que obtiveram acesso aos sistemas de TI da Change Healthcare.
O desligamento da Change Healthcare resultou em amplas interrupções de cobrança desde que a plataforma é amplamente utilizada em todo o sistema de saúde dos EUA por sistemas de registros eletrônicos de saúde (EHR), processamento de pagamento, coordenação de cuidados e análise de dados em hospitais, clínicas e farmácias.
Desde então, a Optum vem fornecendo atualizações diárias de incidentes em uma página de status dedicada, alertando que os sistemas da Change Healthcare ainda estão offline para evitar mais impactos e conter a violação, com a interrupção atualmente afetando a maioria dos serviços.
"Estamos confiantes que os sistemas da Optum, UnitedHealthcare e UnitedHealth Group não foram afetados por este problema.", diz a Optum.
"Estamos trabalhando em várias abordagens para restaurar o ambiente impactado e não vamos tomar atalhos ou assumir qualquer risco adicional à medida que nossos sistemas voltam a ficar online."
Desde que o ataque atingiu seus sistemas, a Change Healthcare tem conduzido chamadas no Zoom com parceiros na indústria de saúde para fornecer atualizações sobre o ciberataque.
Uma das pessoas envolvidas nessas ligações disse a BleepingComputer que o ataque estava relacionado à gangue de ransomware BlackCat (ALPHV) por especialistas forenses envolvidos na resposta ao incidente (a Reuters foi a primeira a relatar a ligação com Blackcat na segunda-feira).
Outra fonte disse à BleepingComputer na sexta-feira que um dos indicadores do comprometimento é um erro crítico do ScreenConnect auth bypass (CVE-2024-1709) explorado ativamente em ataques para implantar ransomware em servidores não corrigidos.
A BleepingComputer não conseguiu confirmar independente as reivindicações das fontes.
Na época desta publicação, o BlackCat ainda não havia reivindicado o ataque à Change Healthcare, indicando que ainda pode estar no processo de tentar extorquir um resgate.
O vice-presidente do UnitedHealth Group, Tyler Mason, não confirmou se o BlackCat foi responsável pelo ataque, mas disse que 90% das farmácias afetadas implementaram novos processos de reivindicação eletrônica para resolver os problemas da Change Healthcare.
"Estimamos que mais de 90% das 70.000+ farmácias do país modificaram o processamento de reivindicações eletrônicas para mitigar os impactos do problema de segurança cibernética da Change Healthcare; as restantes têm soluções alternativas para processamento offline", disse Mason.
UnitedHealth Group (UHG) é uma empresa de seguro saúde que possui presença em todos os 50 estados dos EUA, que tem contratos com mais de 1,6 milhão de médicos e profissionais de saúde, bem como 8.000 hospitais e outras unidades de saúde.
O UHG emprega 440.000 pessoas em todo o mundo e é a maior empresa de saúde do mundo em receita (US$ 324,2 bilhões em 2022).
A Optum Solutions, sua subsidiária, opera a Change Healthcare, a maior plataforma de troca de pagamentos que conecta médicos, farmácias, provedores de saúde e pacientes no sistema de saúde dos EUA.
Um representante da BlackCat não respondeu ao pedido de comentário da BleepingComputer antes do artigo ser publicado.
A BlackCat surgiu em novembro de 2021 como uma susposta nova marca das operações de ransomware DarkSide e BlackMatter.
A DarkSide ganhou notoriedade mundial rapidamente após o ataque ao Colonial Pipeline, o que resultou em extensas investigações por agências de aplicação da lei em todo o mundo e a operação teve que passar por mais duas rebrandagens.
O FBI relacionou o BlackCat a mais de 60 violações em seus primeiros quatro meses de atividade entre novembro de 2021 e março de 2022.
Também estima que o BlackCat tenha obtido pelo menos US$ 300 milhões em pagamentos de resgate de mais de 1.000 vítimas até setembro de 2023.
As operações da quadrilha foram interrompidas em dezembro, com o FBI derrubando temporariamente seus sites de negociação e vazamento de dados na rede Tor após hackear seus servidores e criar uma ferramenta de descriptografia usando chaves coletadas durante a intrusão de vários meses.
O BlackCat desde então "desobteve" seu site de vazamento usando chaves privadas que ainda possui e agora está operando um novo site de vazamento no Tor que o FBI ainda não conseguiu derrubar.
Embora o arquivo SEC do UnitedHealth Group afirme que um agente de ameaça de estado-nação é responsável pelo ataque, a BlackCat não tem sido publicamente associada a qualquer agência governamental estrangeira.
O Departamento de Estado dos EUA está oferecendo recompensas de até US$ 10 milhões por informações que levem à identificação ou localização dos líderes da gangue ALPHV e US$ 5 milhões por informações sobre indivíduos vinculados a ataques de ransomware BlackCat.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...