Fuentes familiarizadas con la investigación vincularon un ciberataque a Optum, filial de UnitedHealth Group, que provocó una interrupción continua que afectó a la plataforma de intercambio de pagos Change Healthcare con el grupo de ransomware BlackCat.
Change Healthcare advirtió a sus clientes el miércoles que algunos de sus servicios están desconectados debido a un incidente de ciberseguridad. Un día después, UnitedHealth Group dijo en una presentación ante la SEC 8-K que el ciberataque fue coordinado por presuntos piratas informáticos de “estados-nación” que obtuvieron acceso a los sistemas de TI de Change Healthcare.
El cierre de Change Healthcare ha provocado interrupciones generalizadas en la facturación, ya que la plataforma se utiliza ampliamente en todo el sistema de salud de EE. UU. mediante sistemas de registros médicos electrónicos (EHR), procesamiento de pagos, coordinación de la atención y análisis de datos en hospitales, clínicas y farmacias.
Desde entonces, Optum ha estado proporcionando actualizaciones diarias de incidentes en una página de estado dedicada, advirtiendo que los sistemas de Change Healthcare aún están fuera de línea para evitar un mayor impacto y contener la infracción, y la interrupción actualmente afecta a la mayoría de los servicios.
“Tenemos un alto nivel de confianza en que los sistemas de Optum, UnitedHealthcare y UnitedHealth Group no se han visto afectados por este problema”, dice Optum.
“Estamos trabajando en múltiples enfoques para restaurar el entorno afectado y no tomaremos ningún atajo ni correremos ningún riesgo adicional a medida que volvamos a poner en línea nuestros sistemas”.
Enlaces de BlackCat
Desde que el ataque afectó a sus sistemas, ChangeHealthcare ha estado realizando llamadas de Zoom con socios de la industria de la salud para brindar actualizaciones sobre el ciberataque.
Uno de los involucrados en estas llamadas le dijo a BleepingComputer que el ataque fue vinculado a la banda de ransomware BlackCat (ALPHV) por expertos forenses involucrados en la respuesta al incidente (Reuters informó por primera vez sobre el enlace de Blackcat el lunes).
Otra fuente le dijo a BleepingComputer el viernes que uno de los indicadores de compromiso es una falla crítica de omisión de autenticación de ScreenConnect (CVE-2024-1709) explotada activamente en ataques para implementar ransomware en servidores sin parches.
BleepingComputer no ha podido confirmar de forma independiente las afirmaciones de las fuentes.
En el momento de esta publicación, BlackCat aún no había reclamado el ataque a Change Healthcare, lo que indica que es posible que todavía estén en el proceso de intentar extorsionar un rescate.
United Health Group (UHG) es una compañía de seguros de salud con presencia en los 50 estados de EE. UU. que tiene contratos con más de 1,6 millones de médicos y profesionales de la atención, así como con 8.000 hospitales y otros centros de atención.
UHG emplea a 440.000 personas en todo el mundo y es la empresa de atención sanitaria más grande del mundo por ingresos (324.200 millones de dólares en 2022).
Optum Solutions, su filial, opera la plataforma Change Healthcare, la mayor plataforma de intercambio de pagos que conecta a médicos, farmacias, proveedores de atención médica y pacientes en el sistema de salud de EE. UU.
Los portavoces de UnitedHealth Group y Optum no estuvieron disponibles de inmediato para hacer comentarios cuando BleepingComputer pidió confirmación sobre el ataque de ransomware BlackCat.
Un representante de BlackCat no respondió a la solicitud de comentarios de BleepingComputer antes de la publicación de este artículo.
¿Quién es BlackCat/ALPHV?
BlackCat surgió en noviembre de 2021 como un presunto cambio de marca de las operaciones de ransomware DarkSide y BlackMatter.
DarkSide rápidamente ganó notoriedad mundial después del ataque a Colonial Pipeline, que resultó en extensas investigaciones por parte de agencias policiales de todo el mundo y la operación tuvo que pasar por dos cambios de nombre más.
El FBI vinculó a BlackCat con más de 60 infracciones durante sus primeros cuatro meses de actividad entre noviembre de 2021 y marzo de 2022. También estima que BlackCat ha recaudado al menos 300 millones de dólares en pagos de rescate de más de 1.000 víctimas hasta septiembre de 2023.
Las operaciones de la pandilla fueron interrumpidas en diciembre, cuando el FBI cerró temporalmente sus sitios de negociación y filtración Tor después de piratear sus servidores y crear una herramienta de descifrado utilizando claves recopiladas durante la intrusión que duró meses.
Desde entonces, BlackCat ha “desmantelado” su sitio de filtración utilizando claves privadas que aún poseían y ahora está operando un nuevo sitio de filtración de Tor que el FBI aún no ha eliminado.
Si bien la presentación de UnitedHealth Group ante la SEC establece que un actor de amenazas de un estado-nación está detrás del ataque, BlackCat no ha sido vinculado públicamente con ninguna agencia gubernamental extranjera.
El Departamento de Estado de EE. UU. ofrece recompensas de hasta 10 millones de dólares por pistas que conduzcan a la identificación o ubicación de los líderes de las pandillas ALPHV y 5 millones de dólares por información sobre personas vinculadas a los ataques de ransomware BlackCat.
URL de la publicación original: https://www.bleepingcomputer.com/news/security/unitedhealth-subsidiary-optum-hack-linked-to-blackcat-ransomware/
Fuente Original CISO2CISO.COM & CYBER SECURITY GROUP
