imágenes falsas
Change Healthcare, el proveedor de servicios de atención médica que recientemente experimentó un ataque de ransomware que paralizó el mercado de medicamentos recetados de EE. UU. durante dos semanas, fue pirateado a través de una cuenta comprometida que no utilizó la autenticación multifactor, dijo el director ejecutivo de la compañía a los miembros del Congreso.
El ataque del 21 de febrero por parte de un grupo de ransomware que utilizaba los nombres ALPHV o BlackCat derribó una red nacional que Change Healthcare administra para permitir a los proveedores de atención médica gestionar los pagos de los clientes y las reclamaciones de seguros. Sin una manera fácil para que las farmacias calcularan qué costos estaban cubiertos por las compañías de seguros, los procesadores de pagos, los proveedores y los pacientes experimentaron largas demoras en el surtimiento de recetas de medicamentos, muchos de los cuales salvaron vidas. Change Healthcare también ha informado que los piratas informáticos detrás de los ataques obtuvieron información de salud personal de una “parte sustancial” de la población estadounidense.
La defensa estándar no está en su lugar
Andrew Witty, director ejecutivo de UnitedHealth Group, empresa matriz de Change Healthcare, dijo que la infracción comenzó el 12 de febrero cuando los piratas informáticos de alguna manera obtuvieron una contraseña de cuenta para un portal que permitía el acceso remoto a los dispositivos de escritorio de los empleados. La cuenta, admitió Witty, no utilizó la autenticación multifactor (MFA), una defensa estándar contra las contraseñas comprometidas que requiere autenticación adicional en forma de una contraseña de un solo uso o una clave de seguridad física.
“El portal no tenía autenticación multifactor”, escribió Witty en comentarios presentado antes de su testimonio programado para el miércoles ante el Subcomité de Supervisión e Investigaciones del Comité de Energía y Comercio de la Cámara de Representantes. “Una vez que el actor de la amenaza obtuvo acceso, se movió lateralmente dentro de los sistemas de maneras más sofisticadas y extrajo datos”. Witty también tiene previsto aparecer en una audiencia separada del miércoles ante la Comisión de Finanzas del Senado.
Witty no explicó por qué la cuenta, en una plataforma de portal proporcionada por el fabricante de software Citrix, no estaba configurada para usar MFA. Es probable que el fracaso sea un tema importante durante la audiencia del miércoles.
Después de infiltrarse en la red de Change Healthcare sin ser detectados durante nueve días, los atacantes implementaron ransomware que impidió que la empresa accediera a su entorno de TI. En respuesta, la empresa cortó la conexión con sus centros de datos. La empresa pasó las siguientes dos semanas reconstruyendo toda su infraestructura de TI “desde cero”. En el proceso, reemplazó miles de computadoras portátiles, rotó credenciales y agregó nueva capacidad de servidor. Para el 7 de marzo, el 99 por ciento de las farmacias anteriores al incidente volvieron a poder procesar reclamaciones.
Witty también confirmó públicamente que Change Healthcare pagó un rescate, una práctica que, según los críticos, incentiva a los grupos de ransomware que a menudo no cumplen sus promesas de destruir datos robados. De acuerdo a comunicaciones descubiertas Por Dmitry Smilyanets, director de gestión de productos de la empresa de seguridad Recorded Future, Change Healthcare pagó 22 millones de dólares a ALPHV. Los miembros principales del grupo luego se embolsaron los fondos en lugar de compartirlos con un grupo afiliado que realizó el hackeo, como se establece en un acuerdo preexistente. El grupo afiliado publicó algunos de los datos robados, validando en gran medida una crítica principal a los pagos de ransomware.
“Como director ejecutivo, la decisión de pagar un rescate fue mía”, escribió Witty. “Este fue uno de los más difíciles
decisiones que he tenido que tomar alguna vez. Y no se lo deseo a nadie”.
Computadora que suena reportado que Change Healthcare pudo haber pagado tanto a ALPHV como al afiliado a través de un grupo que se hace llamar RansomHub.
Hace dos semanas, UnitedHealth Group reportado El ataque de ransomware resultó en un costo de 872 millones de dólares en su primer trimestre. Esa cantidad incluyó 593 millones de dólares en costos de respuesta directa y 279 millones de dólares en interrupciones. El testimonio escrito de Witty añadió que hasta el viernes pasado, su empresa había adelantado más de 6.500 millones de dólares en pagos acelerados y préstamos sin intereses ni comisiones a miles de proveedores que quedaron en dificultades financieras durante la prolongada interrupción. UnitedHealth Care reportó 99.800 millones de dólares en ventas durante el trimestre. La empresa tuvo unos ingresos anuales de 371.600 millones de dólares en 2023.
El procesamiento de pagos por parte de Change Healthcare se encuentra actualmente en aproximadamente el 86 por ciento de sus niveles previos al incidente y aumentará a medida que la compañía restaure aún más sus sistemas, dijo Witty. El número de farmacias a las que atiende sigue siendo una “fracción de porcentaje” por debajo de los niveles anteriores al incidente.