Um ataque de ransomware no início deste ano à empresa de tecnologia de saúde Change Healthcare, de propriedade da UnitedHealth, provavelmente é uma das maiores violações de dados médicos e de saúde dos EUA na história.

Meses após a violação de dados de Fevereiro, uma “proporção substancial de pessoas que vivem na América” está a receber aviso por correio de que as suas informações pessoais e de saúde foram roubadas por cibercriminosos durante o ataque cibernético à Change Healthcare. Sabe-se agora que pelo menos 100 milhões de pessoas foram afetadas pela violação.

A Change Healthcare processa faturamento e seguros para centenas de milhares de hospitais, farmácias e consultórios médicos em todo o setor de saúde dos EUA. Como tal, recolhe e armazena grandes quantidades de dados médicos altamente sensíveis sobre pacientes nos Estados Unidos. Através de uma série de fusões e aquisições, a Change tornou-se um dos maiores processadores de dados de saúde dos EUA, processando entre um terço e metade de todas as transações de saúde dos EUA.

Aqui está o que aconteceu desde o início do ataque de ransomware.

O que você vai ler:

21 de fevereiro de 2024

Primeiro relato de interrupções conforme surge um incidente de segurança

Parecia uma tarde comum de quarta-feira, até que deixou de ser. A interrupção foi repentina. Em 21 de fevereiro, os sistemas de cobrança em consultórios médicos e clínicas de saúde pararam de funcionar e os sinistros de seguros pararam de ser processados. A página de status no site da Change Healthcare foi inundada com notificações de interrupção que afetaram todas as partes de seus negócios e, mais tarde naquele dia, a empresa confirmou que estava “sofrendo uma interrupção de rede relacionada a um problema de segurança cibernética”. Claramente algo deu muito errado.

Acontece que a Change Healthcare invocou seus protocolos de segurança e desligou toda a sua rede para isolar os intrusos que encontrou em seus sistemas. Isso significou interrupções repentinas e generalizadas em todo o setor de saúde, que depende de um punhado de empresas – como a Change Healthcare – para lidar com seguros de saúde e reclamações de cobrança em vastas áreas dos Estados Unidos. Posteriormente, foi determinado que os hackers invadiram inicialmente os sistemas da empresa uma semana antes, por volta de 12 de fevereiro.

29 de fevereiro de 2024

UnitedHealth confirma que foi atingida por gangue de ransomware

Depois de inicialmente (e incorretamente) atribuir a intrusão a hackers que trabalhavam para um governo ou estado-nação, a UnitedHealth disse mais tarde, em 29 de fevereiro, que o ataque cibernético foi na verdade obra de uma gangue de ransomware. A UnitedHealth disse que a gangue “se representava para nós como ALPHV/BlackCat”, disse um porta-voz da empresa ao TechCrunch na época. Um site de vazamento da dark web associado à gangue ALPHV/BlackCat também assumiu o crédito pelo ataque, alegando ter roubado informações confidenciais de saúde e de pacientes de milhões de americanos, dando a primeira indicação de quantos indivíduos esse incidente afetou.

ALPHV (também conhecido como BlackCat) é uma conhecida gangue de ransomware como serviço que fala russo. Suas afiliadas – prestadores de serviços que trabalham para a gangue – invadem as redes das vítimas e implantam malware desenvolvido pelos líderes da ALPHV/BlackCat, que recebem uma parte dos lucros arrecadados com os resgates cobrados das vítimas para recuperar seus arquivos.

Saber que a violação foi causada por uma gangue de ransomware mudou a equação do ataque, do tipo de hacking que os governos fazem – às vezes para enviar uma mensagem a outro governo em vez de publicar informações privadas de milhões de pessoas – para uma violação causada por cibercriminosos com motivação financeira. , que provavelmente usarão um manual totalmente diferente para receber seu pagamento.

3 a 5 de março de 2024

UnitedHealth paga resgate de US$ 22 milhões a hackers, que depois desaparecem

No início de março, a gangue de ransomware ALPHV desapareceu. O site de vazamento da gangue na dark web, que semanas antes assumiu o crédito pelo ataque cibernético, foi substituído por um aviso de apreensão alegando que as autoridades do Reino Unido e dos EUA retiraram do ar o site da gangue. Mas tanto o FBI quanto as autoridades do Reino Unido negaram derrubar a gangue de ransomware como haviam tentado meses antes. Todos os sinais apontavam para o ALPHV fugindo com o resgate e realizando um “golpe de saída”.

Em uma postagem, a afiliada da ALPHV que executou o hack na Change Healthcare afirmou que a liderança da ALPHV roubou US$ 22 milhões pagos como resgate e incluiu um link para uma única transação de bitcoin em 3 de março como prova de sua reivindicação. Mas apesar de perder sua parte no pagamento do resgate, a afiliada disse que os dados roubados “ainda estão conosco”. A UnitedHealth pagou resgate aos hackers que deixaram os dados para trás e desapareceram.

uma captura de tela mostrando um aviso falso de apreensão policial postado no site de vazamento da dark web da BlackCat. — Um aviso falso de apreensão policial publicado no site de vazamento da dark web da BlackCat logo após receber um pagamento de resgate de US$ 22 milhões.Créditos da imagem:TechCrunch (captura de tela)

13 de março de 2024

Interrupção generalizada na saúde dos EUA em meio a temores de violação de dados

Enquanto isso, semanas após o ataque cibernético, as interrupções ainda continuavam, e muitos não conseguiam aviar suas receitas ou tinham que pagar em dinheiro. A provedora de seguros de saúde militar TriCare disse que “todas as farmácias militares em todo o mundo” também foram afetadas.

A Associação Médica Americana dizia que havia pouca informação da UnitedHealth e da Change Healthcare sobre as interrupções em curso, causando perturbações massivas que continuaram a repercutir-se em todo o sector da saúde.

Em 13 de março, a Change Healthcare recebeu uma cópia “segura” dos dados roubados, pelos quais havia pago US$ 22 milhões poucos dias antes. Isso permitiu que a Change iniciasse o processo de análise do conjunto de dados para determinar quais informações foram roubadas no ataque cibernético, com o objetivo de notificar o maior número possível de indivíduos afetados.

28 de março de 2024

Governo dos EUA aumenta recompensa para US$ 10 milhões por informações que levem à captura do ALPHV

No final de Março, o governo dos EUA disse que estava a aumentar a sua recompensa por informações sobre os principais líderes da ALPHV/BlackCat e das suas afiliadas.

Ao oferecer 10 milhões de dólares a qualquer pessoa que conseguisse identificar ou localizar os indivíduos por detrás do gangue, o governo dos EUA parecia esperar que um dos membros do gang se voltasse contra os seus antigos líderes. Também poderia ser visto como os EUA percebendo a ameaça de ter um número significativo de informações sobre saúde dos americanos potencialmente publicadas online.

15 de abril de 2024

Empreiteiro forma nova gangue de resgate e publica alguns dados de saúde roubados

E então houve dois – resgates, claro. Em meados de abril, a afiliada prejudicada montou um novo esquema de extorsão chamado RansomHub e, como ainda tinha os dados que roubou da Change Healthcare, exigiu um segundo resgate da UnitedHealth. Ao fazer isso, o RansomHub publicou uma parte dos arquivos roubados contendo o que pareciam ser registros privados e confidenciais de pacientes como prova de sua ameaça.

As gangues de ransomware não criptografam apenas arquivos; eles também roubam o máximo de dados possível e ameaçam publicar os arquivos se o resgate não for pago. Isso é conhecido como “dupla extorsão”. Em alguns casos, quando a vítima paga, a gangue de ransomware pode extorquir a vítima novamente – ou, em outros, extorquir os clientes da vítima, o que é conhecido como “extorsão tripla”.

Agora que a UnitedHealth estava disposta a pagar um resgate, havia o risco de o gigante da saúde ser extorquido novamente. É por isso que as autoridades há muito defendem o pagamento de resgates que permitam aos criminosos lucrar com ataques cibernéticos.

22 de abril de 2024

UnitedHealth afirma que hackers de ransomware roubaram dados de saúde de uma “proporção substancial de pessoas na América”

Pela primeira vez, a UnitedHealth confirmou em 22 de abril – mais de dois meses após o início do ataque de ransomware – que houve uma violação de dados e que provavelmente afeta uma “proporção substancial de pessoas na América”, sem dizer quantos milhões de pessoas isso implica. A UnitedHealth também confirmou que pagou um resgate pelos dados, mas não informou quantos resgates acabou pagando.

A empresa disse que os dados roubados incluem informações altamente confidenciais, incluindo registros médicos e informações de saúde, diagnósticos, medicamentos, resultados de testes, imagens e planos de cuidados e tratamento, além de outras informações pessoais.

Dado que a Change Healthcare lida com dados de cerca de um terço de todas as pessoas que vivem nos Estados Unidos, a violação de dados provavelmente afetará pelo menos mais de 100 milhões de pessoas. Quando contatado pelo TechCrunch, um porta-voz da UnitedHealth não contestou o provável número afetado, mas disse que a revisão dos dados da empresa estava em andamento.

1º de maio de 2024

O executivo-chefe do UnitedHealth Group testemunhou que a Change não estava usando segurança cibernética básica

Talvez não seja surpresa que, quando a sua empresa sofreu uma das maiores violações de dados da história recente, o seu executivo-chefe seja obrigado a ser chamado para testemunhar perante os legisladores.

Foi o que aconteceu com o presidente-executivo do UnitedHealth Group (UHG), Andrew Witty, que no Capitólio admitiu que os hackers invadiram os sistemas da Change Healthcare usando uma única senha definida em uma conta de usuário não protegida com autenticação multifatorial, um recurso básico de segurança que pode evitar ataques de reutilização de senhas, exigindo um segundo código enviado ao telefone do titular da conta.

Uma das maiores violações de dados na história dos EUA era totalmente evitável, era a mensagem principal. Witty disse que a violação de dados provavelmente afetaria cerca de um terço das pessoas que vivem na América – em linha com as estimativas anteriores da empresa de que a violação afeta cerca de tantas pessoas para as quais a Change Healthcare processa pedidos de assistência médica.

1: O CEO da UnitedHealth, Andrew Witty, testemunha perante o comitê de Finanças do Senado no Capitólio em 1º de maio de 2024 em Washington, DC. — O CEO da UnitedHealth, Andrew Witty, testemunha perante o comitê de Finanças do Senado no Capitólio em 1º de maio de 2024, em Washington, DCCréditos da imagem:Kent Nishimura/Getty Images

20 de junho de 2024

UHG começa a notificar hospitais e prestadores de serviços médicos afetados sobre quais dados foram roubados

A Change Healthcare demorou até 20 de junho para começar a notificar formalmente os indivíduos afetados de que suas informações foram roubadas, conforme exigido legalmente por uma lei comumente conhecida como HIPAA, provavelmente atrasada em parte pelo tamanho do conjunto de dados roubado.

A empresa publicou um aviso divulgando a violação de dados e disse que começaria a notificar os indivíduos identificados na cópia “segura” dos dados roubados. Mas a Change disse que “não pode confirmar exatamente” quais dados foram roubados sobre cada indivíduo e que as informações podem variar de pessoa para pessoa. A Change afirma que estava postando o aviso em seu site, pois “pode não ter endereços suficientes para todos os indivíduos afetados”.

O incidente foi tão grande e complexo que o Departamento de Saúde e Serviços Humanos dos EUA interveio e disse que os prestadores de cuidados de saúde afetados, cujos pacientes são afetados pela violação, podem pedir à UnitedHealth que notifique os pacientes afetados em seu nome, um esforço visto para diminuir o fardo para os fornecedores mais pequenos, cujas finanças foram afetadas durante a interrupção contínua.

29 de julho de 2024

A Change Healthcare começa a notificar indivíduos afetados conhecidos por carta

A gigante da tecnologia de saúde confirmou no final de junho que começaria a notificar aqueles cujos dados de saúde foram roubados em seu ataque de ransomware de forma contínua. Esse processo começou no final de julho.

As cartas enviadas aos indivíduos afetados provavelmente virão da Change Healthcare, se não do provedor de saúde específico afetado pelo hack na Change. A carta confirma quais tipos de dados foram roubados, incluindo dados médicos e informações de seguro saúde, além de reclamações e informações de pagamento, que, segundo Change, incluem informações financeiras e bancárias.

24 de outubro de 2024

UnitedHealth confirma pelo menos 100 milhões de pessoas afetadas por violação de dados

A gigante dos seguros de saúde levou mais de oito meses para anunciar, mas agora confirmou que a violação de dados afeta mais de 100 milhões de indivíduos. Espera-se que o número de pessoas afetadas aumente, visto que algumas receberam notificações de violação de dados ainda em outubro. O Departamento de Saúde e Serviços Humanos dos EUA informou o número atualizado em seu portal de violação de dados em 24 de outubro.

Tal como está, a violação de dados na Change Healthcare é agora o maior roubo digital de registos médicos dos EUA e uma das maiores violações de dados na história viva.