Взлом Change Healthcare: обнаружена причина масштабного сбоя в работе медучреждений США

В феврале громкая кибератака на Change Healthcare вызвала серьезные нарушения в работе медучреждений США, а сейчас стало известно, каким образом хакеры получили доступ к системам.

По словам гендиректора UnitedHealth Group (материнская компания Change Healthcare) Эндрю Уитти, причиной атаки стала неисправленная уязвимость под названием Citrix Bleed ( CVE-2023-4966 , оценка CVSS: 7.5) в программном обеспечении Citrix. Подробности стали известны в ходе подготовки к слушаниям в подкомитете по надзору и расследованиям, которые запланированы на 1 мая.

Атака, произошедшая 12 февраля, парализовала системы учета и платежей UnitedHealth Group, что затронуло больницы, страхование и аптеки, парализовав их работу почти на месяц. Ответственность за атаку взяла на себя группировка ALPHV/BlackCat, которая уже прекратила свою деятельность после операции ФБР.

На фоне атаки, аналогичная уязвимость была активно использована другой группой хакеров LockBit, начиная с июля 2023 года. В октябре Citrix выпустила необходимое обновление для устранения уязвимости, но к тому времени многие компании, включая Boeing и ICBC, уже пострадали от кибератак.

Директор UnitedHealth Group утверждает, что в результате атаки были скомпрометированы данные для удаленного доступа к порталу Change Healthcare. После обнаружения атаки компания немедленно отключила связь с центрами обработки данных, чтобы предотвратить дальнейшее распространение вируса.

Эндрю Уитти подчеркнул, что только за последний год компания отразила более 450 000 попыток взлома. На слушаниях в Конгрессе Уитти планирует рассказать о мерах, которые компания принимает для борьбы с киберугрозами, включая сотрудничество с ФБР и ведущими ИБ-компаниями.

В результате атаки UHG выплатила более $6,8 млрд. в виде авансовых платежей и беспроцентных займов пострадавшим медицинским учреждениям. Подразделение Change Healthcare обрабатывает записи каждого третьего пациента в США, обрабатывая около 15 млрд. транзакций в год.

Кибератака также спровоцировала расследование со стороны Департамента здравоохранения США относительно возможных нарушений правил защиты медицинских данных, что может привести к штрафам или судебным искам против компании UnitedHealth Group.

Change Healthcare до сих пор ощущает последствия инцидента. Сложность ситуации усугубляется тем, что вымогатели ALPHV обманули компанию, исчезнув вскоре после получения выкупа. По слухам, партнеры группы, осуществившие атаку, так и не получили свою долю от выручки, из-за чего они стали сотрудничать с группировкой RansomHub и продолжают шантажировать Change Healthcare, используя те же украденные данные.