A UnitedHealth első alkalommal erősítette meg hivatalosan azt az információt, hogy ennyi felhasználó adatát érintette az a bizonyos Change Healthcare zsarolóvírus-támadás.
Korábban mi is beszámoltunk arról, hogy az ALPHV/BlackCat bűnözői kör egy alvállalkozói csoportja megtámadta a Change Healthcare rendszereit, ahol a zsarolóvírus-fertőzés gyógyszertárak és kórházak ezreit zavarta meg szerte az Egyesült Államokban. Az USA területén több, mint 70 ezer gyógyszertár használja a szoftvereiket a receptek és betegbiztosítási igények feldolgozásában.
A kiberbiztonsági incidens több tízezer kórház, orvoscsoport, fogorvos és gyógyszertár kifizetését és vényköteles gyógyszerek feldolgozási folyamatát szakította meg, ezenkívül az adminisztráció teljes leállása miatt a társadalombiztosítási elszámolás rendszere, valamint az orvosok munkaidő elszámolása is megakadt.
A dolog aztán kicsit később tovább bonyolódott, pedig az ország legnagyobb biztosítási számlázási hálózatának már az is eleve súlyos érvágás volt, hogy a támadóknak 6 TB bizalmas adatot is sikerült ellopniuk.
Az egészségügyi szervezet hiába fizetett ki az adataik visszaszerzéséért és a lopott adatok nyilvánossá tételének megakadályozásáért március 1-én 22 millió dollár összegű váltságdíjat, ugyanis belháború tört ki a bűnözők között, és a váltságdíjat beszedő affiliate partnert az ALPHV/BlackCat vezetősége felfüggesztette, eközben pedig a kapcsolt vállalkozás számlájáról az ott tárolt teljes összeget elvették tőlük.
Az eset folytatása is elég elkeserítően alakult, mert jött egy nem várt második kör is, miközben az eredeti támadói csoport azt állította, 4 TB kritikus adat még mindig a rendelkezésükre áll, emiatt a UnitedHealth aggódhatott, hogy a kifizetés ellenére mégis nyilvánosságra kerülhetnek az ellopott adatok.
Az új fejlemény pedig az volt, hogy a RansomHub csoport újabb követeléssel állt elő, 12 napos határidőt szabva, és a fenti 4 TB adat nyilvánossá tételével fenyegetve. A RansomHub szivárogtatási weboldaláról néhány nappal később eltűnt az egészségügyi intézményről szóló bejegyzés, ami arra utal, hogy a United Health egy második váltságdíjat is fizethetett.
Az eset legújabb fejleménye, hogy ezúttal hivatalosan is elismerték az elszenvedett károk mértékét, vagyis több mint 100 millió ember személyes és egészségügyi adatait lopták el a zsarolóvírus támadás során. Ezt bátran nevezhetjük az elmúlt évek legnagyobb egészségügyi adatszivárgásának.
Az illetéktelen kezekbe került adatok köre roppant széles: részletes egészségbiztosítási információk, kezelési tervek, biztosítási tagok azonosítószámai, kormányzati kifizető azonosítószámok, orvosi nyilvántartások, diagnózisok, felírt gyógyszerek, vizsgálati eredmények, orvosi felvételek, számlázási információk, számlaszámok, bankkártya adatok, banki információk, további egyéb személyes adatok, például társadalombiztosítási számok, jogosítvány és útlevél adatok.
A kikerült információk részletessége egyénenként ugyan eltérő lehet, mert vélhetően nem minden egyes ügyfél kórtörténete szivárgott ki, de még így is katasztrofális ez az incidens. Áprilisban ezzel kapcsolatosan 872 millió dolláros veszteséget jeleztek, ami még korántsem volt a teljes összeg, a szerencsétlen incidens viszont a részvényárfolyamokat is negatívan befolyásolta.
Külsős biztonsági szakértők véleménye szerint az elhúzódó folyamatok arra utalnak, hogy az egészségügyi intézménynek vélhetően nem volt megfelelő biztonsági mentése, és letesztelt incidensreagálási terve, illetve nagyon kevés informatikai szakszemélyzetet alkalmaztak.
Végül azt is érdemes megemlíteni, hogy az Egyesült Államok törvényei jelenleg ugyan (még?) nem tiltják egységesen a váltságdíj kifizetését minden egyes államban, de a különféle szankciós listákon szereplő személyek vagy szervezetek támogatását viszont igen.
Az ilyen szervezetek között pedig jócskán szerepelhetnek orosz és egyéb illetőségű ransomware csoportok is, emiatt attól függően, hogy ki kapja a pénzt, a váltságdíj fizetése már egyes esetekben lehet illegális.