UnitedHealth, Change Healthcare’in ağının, çalıntı kimlik bilgilerini kullanarak şirketin çok faktörlü kimlik doğrulaması etkin olmayan Citrix uzaktan erişim hizmetine giriş yapan BlackCat fidye yazılımı çetesi tarafından ihlal edildiğini doğruladı.
Bu, UnitedHealth CEO’su Andrew Witty’nin yarın yapılması planlanan House Enerji ve Ticaret alt komitesi duruşması öncesinde yayınlanan yazılı ifadesinde ortaya çıktı.
Change Healthcare’e yönelik fidye yazılımı saldırısı Şubat 2024’ün sonlarında meydana geldi ve Optum’un Change Healthcare platformunda ciddi operasyonel kesintilere yol açtı.
Bu durum, ödeme işlemleri, reçete yazımı ve sigorta talepleri de dahil olmak üzere ABD genelinde sağlık hizmeti sağlayıcıları tarafından kullanılan çok çeşitli kritik hizmetleri etkiledi ve 872 milyon dolar olarak tahmin edilen mali zararlara neden oldu.
Daha önce BlackCat fidye yazılımı çetesi, UnitedHealth’ten 22 milyon dolarlık fidye ödemesi aldıklarını ve bunun bir çıkış dolandırıcılığıyla saldırıyı gerçekleştiren bağlı kuruluştan çalındığını iddia etmişti. Kısa bir süre sonra, bağlı kuruluş verilere hâlâ sahip olduğunu iddia etti ve çalındığı iddia edilen verileri sızdırarak ek bir gasp talebi başlatmak için RansomHub ile ortaklık kurdu.
Sağlık kuruluşu yakın zamanda insanların verilerini ele geçirme sonrasında korumak için fidye ödediğini itiraf etti, ancak saldırı ya da saldırıyı kimin gerçekleştirdiğiyle ilgili hiçbir ayrıntı resmi olarak açıklanmadı.
RansomHub, daha sonra ek bir fidye ödendiğini belirterek Sağlık Hizmeti Değiştir girişini sitesinden kaldırdı.
Kolay bir giriş
Andrew Witty’nin ifadesine göre CEO, saldırının 21 Şubat sabahı, tehdit aktörlerinin sistemleri şifrelemeye ve bunları kuruluş çalışanları için erişilemez hale getirmeye başladığı sırada gerçekleştiğini doğruladı.
Şirket ayrıca BleepingComputer’ın saldırının arkasında ALPHV/BlackCat fidye yazılımı operasyonunun olduğu yönündeki raporunu da ilk kez resmi olarak doğruladı.
Halka açık gerçek saldırı 21 Şubat’ta gerçekleşirken Witty, saldırganın şifreleyicilerini yerleştirmeden önce yaklaşık on gün boyunca şirketin ağına erişimi olduğunu açıkladı. Bu süre zarfında tehdit aktörleri ağ üzerinden yayılarak gasp girişimlerinde kullanılacak kurumsal ve hasta verilerini çaldı.
Halen devam eden soruşturmalar, saldırganların çalıntı çalışan kimlik bilgilerini kullanarak Change Healthcare’in Citrix portalına ilk kez 12 Şubat 2024’te erişim sağladığını ortaya çıkardı. Bu kimlik bilgilerinin başlangıçta bir kimlik avı saldırısıyla mı yoksa bilgi çalan kötü amaçlı yazılımla mı çalındığı bilinmiyor.
Witty, “12 Şubat’ta suçlular, masaüstü bilgisayarlara uzaktan erişimi etkinleştirmek için kullanılan bir uygulama olan Change Healthcare Citrix portalına uzaktan erişmek için ele geçirilen kimlik bilgilerini kullandı” diye açıkladı.
“Portalda çok faktörlü kimlik doğrulama yoktu. Tehdit aktörü erişim sağladıktan sonra, daha karmaşık yöntemlerle sistemler içinde yatay olarak hareket etti ve verileri sızdırdı. Dokuz gün sonra fidye yazılımı dağıtıldı.”
CEO ayrıca kişisel bir anı paylaşarak fidye ödeme kararının tamamen kendisine ait olduğunu ve vermesi gereken en zor kararlardan biri olduğunu belirtti.
Witty ifadesinde, “İcra kurulu başkanı olarak fidye ödeme kararı bana aitti. Bu şimdiye kadar vermek zorunda kaldığım en zor kararlardan biriydi. Ve bunu kimsenin başına istemem” diye yazdı.
İyileştirme çabaları
Witty ayrıca saldırının ardından sistemlerini güvence altına almak için acil eylemlerini özetledi ve onları “hızlı ve güçlü” olarak nitelendirdi ve bunun insanlar üzerinde yaratacağı etkiyi bilmesine rağmen her şeyin kapatılmasıyla tehdidin başarılı bir şekilde kontrol altına alındığını belirtti.
Saldırının ardından kuruluşun BT ekibi binlerce dizüstü bilgisayarı değiştirdi, kimlik bilgilerini değiştirdi ve Change Healthcare’in veri merkezi ağını ve temel hizmetlerini yalnızca birkaç hafta içinde tamamen yeniden inşa etti. Witty, böyle bir görevin genellikle birkaç ay süreceğini belirtiyor.
Çevrimiçi olarak sızdırılan veri örnekleri, korumalı sağlık bilgileri (PHI) ve kişisel olarak tanımlanabilir bilgiler (PII) içermesine rağmen, Witty şu ana kadar doktor çizelgeleri veya tam tıbbi geçmişler gibi materyallerin sızdırıldığına dair hiçbir kanıt görmediklerini belirtiyor.
Etkilenen hizmetlerin durumuyla ilgili olarak, eczane ağları normalin yüzde bir oranında altında çalışıyor, tıbbi talep akışı neredeyse normal seviyelerde ve ödeme işlemleri olay öncesi seviyelerin yaklaşık %86’sında.