.
Atualizada A gangue do crime cibernético ALPHV/BlackCat recebeu o crédito – se essa é a palavra – por uma infecção de ransomware na Change Healthcare que perturbou milhares de farmácias e hospitais nos EUA, e também alegou que a quantidade de dados confidenciais roubados e afetados organizações de saúde é muito maior do que as vítimas inicialmente divulgadas.
Nem é preciso dizer que se trata de criminosos e não das fontes de informação mais confiáveis. Além disso, sabe-se que as equipes de ransomware exageram em suas alegações de dados roubados para aumentar a pressão sobre os atingidos para que paguem rapidamente.
Como disse o analista de ameaças da Emsisoft, Brett Callow O registro: “Os cibercriminosos não são uma fonte confiável de informação e as afirmações da ALPHV devem ser vistas com ceticismo.”
Quando questionado sobre o orgulho do ALPHV de roubar mais de 6 TB de dados confidenciais, o porta-voz do UnitedHealth Group, Tyler Mason, recusou-se a responder a perguntas específicas. “Estamos cientes e investigando isso”, disse Mason ao The Registro.
“Conforme observado em declarações anteriores, continuamos a trabalhar em estreita colaboração com as autoridades policiais e terceiros, incluindo Mandiant e Palo Alto Networks, neste ataque contra os sistemas Change Healthcare”, acrescentou Mason.
A UnitedHealth é proprietária do fornecedor de TI de cuidados de saúde e mais de 70.000 farmácias nos EUA utilizam o seu software para processar pedidos de seguros e preencher receitas. Muitas delas – incluindo duas das maiores cadeias dos EUA, CVS e Walgreens – sofreram após a intrusão de 21 de Fevereiro.
“Em 22 de fevereiro de 2024, divulgamos a ocorrência de um incidente de segurança cibernética. Continuamos investigando a extensão do incidente, que acreditamos ter sido cometido por atores de ameaças de crimes cibernéticos”, revelou a UnitedHealth na quarta-feira em um documento regulatório. “Até a data deste relatório, não determinamos que o incidente tenha uma probabilidade razoável de impactar materialmente nossa condição financeira ou resultados operacionais.”
Embora a UnitedHealth tenha dito originalmente aos reguladores dos EUA que um “suspeito de ameaça à segurança cibernética associada ao Estado-nação” estava por trás do ataque, na segunda-feira surgiram relatos de que o perpetrador era, na verdade, ALPHV/BlackCat – uma tripulação com motivação financeira.
Na quarta-feira, a gangue de ransomware listado Change Healthcare em seu site de vazamento e alegou ter roubado grandes quantidades de dados pertencentes a seguradoras de saúde, prestadores de serviços médicos e farmácias, incluindo Medicare e Tricare, CVS-CareMark, Health Net, Metlife e Teachers Health Trust.
“Qualquer pessoa com um pensamento crítico decente compreenderá os danos que podem ser causados com dados tão íntimos dos clientes afetados”, ameaçaram os criminosos, acrescentando que os ficheiros roubados ascendem a “milhões” e dizem respeito a dados pessoais de militares ativos dos EUA e outras patentes, registros médicos e odontológicos, informações de pagamento, reclamações de seguros e mais de 3.000 arquivos de código-fonte.
ALPHV tem sido associado à gangue Darkside/Blackmatter, de língua russa, a equipe criminosa por trás do ataque de ransomware Colonial Pipeline de 2021. O governo dos EUA apreendeu os sites da gangue no início de dezembro e lançou uma ferramenta de descriptografia para as vítimas.
Mas, como vimos noutras tentativas de repressão de crimes cibernéticos, o ALPHV restaurou rapidamente as suas operações e retomou os ataques a alvos de infraestruturas críticas a partir de meados de dezembro.
Na terça-feira, o FBI, a Agência de Segurança Cibernética e de Infraestrutura dos EUA e o Departamento de Saúde e Serviços Humanos dos EUA alertaram hospitais e instalações de saúde que o ALPHV está atacando-os.
“Desde meados de dezembro de 2023, das quase 70 vítimas vazadas, o setor da saúde tem sido o mais vitimado”, alertava o alerta. “Isso é provavelmente uma resposta à postagem do administrador do ALPHV Blackcat incentivando suas afiliadas a visar hospitais após ação operacional contra o grupo e sua infraestrutura no início de dezembro de 2023.”
Os Feds também instaram o sector da saúde a tomar medidas para mitigar os riscos, incluindo a realização rotineira de inventários de activos e dados para identificar dispositivos e software não autorizados, permitindo a autenticação multifactor e utilizando palavras-passe fortes.
O aviso também aconselhou os hospitais a fechar portas de rede não utilizadas, remover aplicativos que não são necessários para as operações diárias e priorizar a correção de vulnerabilidades conhecidas que estão sendo exploradas – o que você poderia esperar que já fizessem.
Embora não se saiba como o ALPHV obteve acesso inicial aos sistemas da Change Healthcare, tem havido especulações de que ele invadiu através de bugs críticos do ConnectWise, que são considerados “embaraçosamente fáceis” de explorar.
A ALPHV, por sua vez, tentou acabar com esse boato em seu post:
A Change Healthcare emite várias atualizações todos os dias sobre a interrupção, mas nenhuma delas fornece uma data até a qual a empresa em dificuldades espera recuperar os aplicativos afetados.
“Temos um alto nível de confiança de que os sistemas Optum, UnitedHealthcare e UnitedHealth Group não foram afetados por este problema”, observou o grupo na quarta-feira. ®
Atualizado para adicionar
Change admitiu que esteve em contato com ALPHV. Em um aviso aos clientes em 29 de fevereiro, dizia:
“A Change Healthcare pode confirmar que estamos enfrentando um problema de segurança cibernética perpetrado por um ator de ameaça de crime cibernético que se apresentou para nós como ALPHV/Blackcat.
“Nossos especialistas estão trabalhando para resolver o assunto e estamos trabalhando em estreita colaboração com as autoridades policiais e os principais consultores terceirizados, Mandiant e Palo Alto Network, neste ataque contra os sistemas da Change Healthcare. Estamos trabalhando ativamente para compreender o impacto para os membros, pacientes e clientes.”
.
