Jedna z największych korporacji z branży ochrony zdrowia w USA zapłaciła $22000000 okupu ransomware. Dostali się do nich z wykorzystaniem wykradzionych danych logowania. Change Healthcare.

W trakcie incydentu wyciekły dane osobowe oraz medyczne „istotnej liczby Amerykanów”. W telegraficznym skrócie:

❌ Cała akcja miała miejsce w lutym 2024. Apteki / szpitale w całym kraju zgłaszały opóźnienia / problemy z realizacją recept dla pacjentów. Sporo tego typu instytucji zaczęło mieć problemy z płynnością finansową – tj. przestały mieć możliwość uzyskania pieniędzy od ubezpieczycieli.

Dlaczego? Otóż Change Healthcare – tj. zaatakowana została firma, jest pośrednikiem pomiędzy placówkami medycznymi a ubezpieczycielami i realizuje rocznie aż „15 miliardów transakcji związanych z ochroną zdrowia”. Jeszcze inaczej: to jeden z największych – jeśli nie największy – tego typu pośrednik w USA.

❌ Pierwszym punktem wejścia do Change Healthcare były wykradzione dane logowania, umożliwiające zdalne zalogowanie się do infrastruktury firmy (Citrix). Loginy i hasła zostały wykradzione tzw. stealerem (czyli ktoś z pracowników musiał zalogować się na komputerze zainfekowanym malware)

❌ Ale przecież 2FA! Sam login i hasło niewiele by dały. Otóż… dla zdalnego dostępu do firmy nie było skonfigurowanego dwuczynnikowego uwierzytelnienia

❌ Po 9 dniach od pierwszego wejścia, atakującym udało się przeniknąć do kolejnych sieci, uzyskać odpowiednio duży dostęp oraz uruchomić ransomware

❌ Firma zapłaciła okup w wysokości $22 000 000, co zostało autoryzowane przez CEO firmy

❌ Tu pojawia się dodatkowy nietypowy wątek. Po zapłacie okupu do „dostawcy oprogramowania ransomware”, ten postanowił zniknąć z dużymi pieniędzmi, zostawiając z kwitkiem samych hackerów, którzy wykorzystali ransomware (tj. włamali się do Change Healthcare). Zawiesili nawet na swojej stronie fałszywą informację o rzekomym zwinięciu ich operacji przez służby. Co zrobili sami hackerzy, którzy de facto posiadali wykradzione dane? Oczywiście nie byli zadowoleni i niedługo potem nastąpiła kolejna próba wymuszenia okupu.

✅ W ramach reakcji na incydent, zreinstalowanych zostało tysiące laptopów, zmienione zostały dane logowania; przebudowane (czytaj: postawione od zera) zostało całe data center oraz główne usługi. Całość operacji zajęła kilka tygodni (a czas ten wskazywany jest jako bardzo dobry; normalnie może to trwać miesiącami)

✅ Obecnie systemy dotknięte incydentem już prawie działają w 100% poprawnie. Przynajmniej tak zeznaje CEO Change Healthcare.

~ms